Solucionar problemas do NTP no DNA Center

Introdução

Este documento descreve como solucionar problemas do Network Time Protocol (NTP) no Cisco DNA Center (DNAC).

Pré-requisitos

Requisitos

• É necessário que o usuário tenha acesso à interface de linha de comando (CLI) do Cisco DNA Center.

• Você deve ter privilégios de acesso ao Secure Socket Shell (SSH) da maglev para executar este procedimento.

  • Use maglev como o nome de usuário na porta 2222.

• Servidor NTP.
• Entender o protocolo NTP.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software:

• Cisco DNA Center 2.3.3
• Cisco DNA Center 2.3.5

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Informações de Apoio

A sincronização de tempo é essencial para a precisão dos dados e a coordenação do processamento em um cluster de vários hosts. Antes de implantar o equipamento em um ambiente de produção, verifique se a hora no relógio do sistema do equipamento é atual e se os servidores NTP especificados estão mantendo a hora exata. Se estiver planejando integrar o dispositivo ao ISE, você também deve garantir que o ISE esteja sincronizando com os mesmos servidores NTP que o dispositivo.

Para uma implantação de produção, é recomendável configurar um mínimo de três servidores NTP.

O NTP versão 4 usa a porta UDP 123 para comunicação de e para o DNAC.

Validar para NTP no CIMC

Etapa 1 - Fazer login no Cisco IMC do dispositivo usando o endereço IP, a ID de usuário e a senha do Cisco IMC definidos em Habilitar acesso do navegador ao Cisco Integrated Management Controller. 

Etapa 2 - Sincronizar o hardware do dispositivo com os servidores Network Time Protocol (NTP) que você usa para gerenciar sua rede, da seguinte maneira:

1. No canto superior esquerdo da GUI do Cisco IMC, clique no ícone Toggle Navigation.
2. No menu do Cisco IMC, selecione Admin > Networking e escolha a guia NTP Setting.
3. Certifique-se de que a caixa de seleção NTP Enabled esteja marcada e insira até quatro nomes ou endereços de host do servidor NTP nos campos numerados do Servidor.
4. O Cisco IMC valida suas entradas e começa a sincronizar a hora no hardware do dispositivo com a hora nos servidores NTP.

Página de configuração do NTP do CIMC

Observação: o Cisco IMC não suporta autenticação NTP.

Revisar a configuração do NTP no DNAC

• Revise os serviços de NTP configurados no DNAC, confirme se o NTP tem uma informação * do servidor
  • Valor máximo de deslocamento: 500
  • Valor máximo de variação de sinal: 300

maglev@maglev-master:~$ ntpq -pn
remote             refid   st  t  when poll  reach  delay  offset  jitter
==============================================================================
*ntp.server.local  .GNSS.  2  u  823 1024    0    0.263    0.144   0.000
10.81.254.131      .GNSS.  1  u  835  1024   377   72.324  0.382   0.087

• Confirme se o relógio do sistema sincronizado está sincronizado com o comando timedatectl.

maglev@maglev-master:~$ timedatectl status
Local time: Thu 2023-09-28 20:27:13 UTC
Universal time: Thu 2023-09-28 20:27:13 UTC
RTC time: Thu 2023-09-28 20:27:13
Time zone: Etc/UTC (UTC, +0000)
System clock synchronized: yes
systemd-timesyncd.service active: no
RTC in local TZ: no

• Verifique se os servidores NTP estão configurados corretamente no arquivo ntp.conf.

maglev@maglev-master:~$ cat /etc/ntp.conf
#---------------------------------------------------------------------
# Modified by Maglev: Mon, 25 Sep 2023 21:04:04 UTC
# maglev-config 68913
#---------------------------------------------------------------------

tinker panic 0
driftfile /var/lib/ntp/ntp.drift
statsdir /var/log/ntpstats/
statistics loopstats peerstats clockstats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable
server 10.81.254.131 iburst
server ntp.server.local iburst
restrict -4 default kod notrap nomodify nopeer noquery
restrict -6 default kod notrap nomodify nopeer noquery
restrict 127.0.0.1
restrict ::1
interface ignore 0.0.0.0
interface listen enterprise
interface listen management
interface listen internet
interface listen cluster

Aviso: NÃO modifique o arquivo ntp.conf.

Validar o NTP no DNAC

• Ao configurar o NTP com um FQDN, verifique se o DNAC pode resolver os Registros A e PTR.

maglev@maglev-master:~$ nslookup
>set type=A
> ntp.server.local
Server: 10.0.0.53
Address: 10.0.0.53#53

Non-authoritative answer:
Name:  ntp.server.local
Address: 10.81.254.202


>set type=PTR
> 10.81.254.202
Server: 10.0.0.53
Address: 10.0.0.53#53

10.254.81.10.in-addr.arpa name =  ntp.server.local.

• Verifique se você pode acessar o NTP via ping.

maglev@maglev-master:~$ ping ntp.server.local
PING ntp.server.local (10.81.254.202) 56(84) bytes of data.
64 bytes from ntp.server.local (10.81.254.202): icmp_seq=1 ttl=53 time=72.8 ms
64 bytes from ntp.server.local (10.81.254.202): icmp_seq=2 ttl=53 time=71.9 ms
64 bytes from ntp.server.local (10.81.254.202): icmp_seq=3 ttl=53 time=72.0 ms
^C
--- ntp.server.local ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 72.506/72.634/72.853/0.269 m

• Verifique se você pode acessar o NTP na porta 123/UDP.

maglev@maglev-master:~$ nc -zvu ntp.server.local 123
Connection to ntp.server.local 123 port [udp/ntp] succeeded!

• Capture um pacote e confirme se a comunicação NTP está na mesma versão do NTPv4.

maglev@maglev-master:~$ sudo tcpdump -i any host ntp.server.local and port 123 --immediate-mode
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
20:19:23.967314 IP flink-web.ndp.svc.cluster.local.ntp > ntp.server.local.ntp: NTPv4, Client, length 48
20:19:23.967329 IP flink-web.ndp.svc.cluster.local.ntp > ntp.server.local.ntp: NTPv4, Client, length 48
20:19:24.040064 IP ntp.server.local.ntp > flink-web.ndp.svc.cluster.local.ntp: NTPv4, Server, length 48
20:19:24.040064 IP ntp.server.local.ntp > flink-web.ndp.svc.cluster.local.ntp: NTPv4, Server, length 48

• Confirme se o serviço NTP está ativo e em execução.

maglev@maglev-master:~$ systemctl status ntp
* ntp.service - Network Time Service
Loaded: loaded (/lib/systemd/system/ntp.service; enabled; vendor preset: enabled)
Active: active (running) since Thu 2023-09-28 20:19:20 UTC; 22min ago
Docs: man:ntpd(8)
Process: 31746 ExecStart=/usr/lib/ntp/ntp-systemd-wrapper (code=exited, status=0/SUCCESS)
Main PID: 31781 (ntpd)
Tasks: 2 (limit: 13516)
CGroup: /system.slice/ntp.service
`-31781 /usr/sbin/ntpd -p /var/run/ntpd.pid -g -u 107:111

Sep 28 20:19:20 maglev-master-10-88-244-151 ntpd[31781]: restrict ::: KOD does nothing without LIMITED.
Sep 28 20:19:20 maglev-master-10-88-244-151 ntpd[31781]: Listen and drop on 0 v6wildcard [::]:123
Sep 28 20:19:20 maglev-master-10-88-244-151 ntpd[31781]: Listen normally on 1 lo 127.0.0.1:123
Sep 28 20:19:20 maglev-master-10-88-244-151 ntpd[31781]: Listen normally on 2 management 10.88.244.151:123
Sep 28 20:19:20 maglev-master-10-88-244-151 ntpd[31781]: Listen normally on 3 enterprise 192.168.31.2:123
Sep 28 20:19:20 maglev-master-10-88-244-151 ntpd[31781]: Listen normally on 4 lo [::1]:123
Sep 28 20:19:20 maglev-master-10-88-244-151 ntpd[31781]: Listen normally on 5 management [fe80::be26:c7ff:fe0c:82e6%5447]:123
Sep 28 20:19:20 maglev-master-10-88-244-151 ntpd[31781]: Listen normally on 6 enterprise [fe80::b28b:cfff:fe6a:9e1c%5449]:123
Sep 28 20:19:20 maglev-master-10-88-244-151 ntpd[31781]: Listen normally on 7 cluster [fe80::b28b:cfff:fe6a:9e1d%5450]:123
Sep 28 20:19:20 maglev-master-10-88-244-151 ntpd[31781]: Listening on routing socket on fd #24 for interface updates

Observação: se necessário, você poderá reiniciar o serviço NTP com o comando sudo systemctl restart ntp . Isso não tem nenhum impacto.

Solucionar problemas de NTP no DNAC

• Examine o arquivo maglev_config_wizard.log.

• O próximo trecho mostra o DNAC se comunicar e sincronizar com o servidor NTP.

maglev@maglev-master:~$ cat /var/log/maglev_config_wizard.log | grep -i ntp
| 2023-09-28 00:47:32,790 | DEBUG | 25344 | MainThread | 140017254479680 | root | ansible.py:495 | changed: [localhost] => {"changed": true, "cmd": "/opt/maglev/bin/check_ntp.sh 500 299", "delta": "0:00:00.018699", "end": "2023-09-28 00:47:32.764617", "rc": 0, "start": "2023-09-28 00:47:32.745918", "stderr": "", "stderr_lines": [], "stdout": "PASSED", "stdout_lines": ["PASSED"]}
| 2023-09-28 00:47:33,068 | DEBUG | 25344 | MainThread | 140017254479680 | root | ansible.py:495 | ok: [localhost] => {"ansible_facts": {"ntp_sync_check": "PASSED"}, "changed": false}
"msg": "Check NTP limit PASSED"

changed: [localhost] => {"changed": true, "cmd": "/opt/maglev/bin/check_ntp.sh 500 299", "delta": "0:00:00.018699", "end": "2023-09-28 00:47:32.764617", "rc": 0, "start": "2023-09-28 00:47:32.745918", "stderr": "", "stderr_lines": [], "stdout": "PASSED", "stdout_lines": ["PASSED"]}
ok: [localhost] => {"ansible_facts": {"ntp_sync_check": "PASSED"}, "changed": false}
"msg": "Check NTP limit PASSED"

• Os próximos trechos mostram erros quando o NTP não está sincronizado ou apresenta problemas de comunicação.

maglev@maglev-master:~$ cat /var/log/maglev_config_wizard.log | grep -i ntp
| 2023-07-19 02:36:41,396 | INFO | 76230 | MainThread | 140599082059584 | root | certs.py:142 | renew_certs : Check NTP limits |
| 2023-07-19 02:36:41,703 | DEBUG | 76230 | MainThread | 140599082059584 | root | ansible.py:495 | changed: [localhost] => {"changed": true, "cmd": "/opt/maglev/bin/check_ntp.sh 500 299", "delta": "0:00:00.014850", "end": "2023-07-19 02:36:41.679386", "rc": 0, "start": "2023-07-19 02:36:41.664536", "stderr": "", "stderr_lines": [], "stdout": "WARNING: Could not get Offset or Jitter from ntp peer", "stdout_lines": ["WARNING: Could not get Offset or Jitter from ntp peer"]}
| 2023-07-19 02:36:41,960 | DEBUG | 76230 | MainThread | 140599082059584 | root | ansible.py:495 | ok: [localhost] => {"ansible_facts": {"ntp_sync_check": "WARNING: Could not get Offset or Jitter from ntp peer"}, "changed": false}
"msg": "Check NTP limit WARNING: Could not get Offset or Jitter from ntp peer"
| 2023-07-19 02:36:42,635 | INFO | 76230 | MainThread | 140599082059584 | root | certs.py:142 | renew_certs : Fail if NTP not synched |
TASK [renew_certs : Check NTP limits] ******************************************

maglev@maglev-master:~$ cat /var/log/maglev_config_wizard.log | grep -i ntp
| 2023-09-12 18:21:29,564 | ERROR | 82110 | MainThread | 139737866331968 | maglev_config_wizard.managers.ntp.NtpManager | ntp.py:52 | Unable to sync with time server 10.88.14.200 |
| 2023-09-12 18:21:34,569 | ERROR | 82110 | MainThread | 139737866331968 | maglev_config_wizard.managers.ntp.NtpManager | ntp.py:164 | Unable to configure NTP after 2 attempts |

• Se precisar alterar o servidor NTP, use o comando sudo maglev-config update.

Cuidado: a alteração do NTP reinicia os serviços no DNAC.

Informações Relacionadas

• Suporte técnico e downloads da Cisco