Exemplo de configuração de NTP para Switch de alta disponibilidade Catalyst 6000

Introduction

Este documento fornece uma configuração de exemplo do Network Time Protocol (NTP) para um switch da família Catalyst 6000 com os Supervisor Engines redundantes e os Multilayer Switch Feature Cards (MSFCs) duplas com a sincronização de configuração habilitada.

Antes de Começar

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Prerequisites

Não existem requisitos específicos para este documento.

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

Exemplo de configuração de NTP para Switch de alta disponibilidade Catalyst 6000

A Figura 1 mostra a topologia de rede para este exemplo de configuração.

Figura 1: Topologia de rede

Este exemplo mostra um Catalyst 6509 com mecanismos de supervisor redundantes e MSFCs. Esta é a saída do comando show module do switch:

Cat6000> (enable) show module
Mod Slot Ports Module-Type               Model               Sub Status
--- ---- ----- ------------------------- ------------------- --- --------
1   1    2     1000BaseX Supervisor      WS-X6K-SUP1A-2GE    yes ok
15  1    1     Multilayer Switch Feature WS-F6K-MSFC         no  ok
2   2    2     1000BaseX Supervisor      WS-X6K-SUP1A-2GE    yes standby
16  2    1     Multilayer Switch Feature WS-F6K-MSFC         no  ok
3   3    48    10/100BaseTX Ethernet     WS-X6348-RJ-45      no  ok

Mod Module-Name         Serial-Num
--- ------------------- -----------
1                       SAD04240E48
15                      SAD042406UW
2                       SAD042400YL
16                      SAD042407KG
3                       SAL04440WY6

Mod MAC-Address(es)                        Hw     Fw         Sw
--- -------------------------------------- ------ ---------- -----------------
1   00-30-7b-96-7c-5a to 00-30-7b-96-7c-5b 3.1    5.3(1)     5.5(7)
    00-30-7b-96-7c-58 to 00-30-7b-96-7c-59
    00-02-7e-02-a0-00 to 00-02-7e-02-a3-ff
15  00-d0-d3-a3-b6-a7 to 00-d0-d3-a3-b6-e6 1.4    12.1(6)E   12.1(6)E
2   00-d0-c0-cf-72-12 to 00-d0-c0-cf-72-13 3.1    5.3(1)     5.5(7)
    00-d0-c0-cf-72-10 to 00-d0-c0-cf-72-11
16  00-d0-c0-cf-72-14 to 00-d0-c0-cf-72-53 1.4    12.1(6)E   12.1(6)E
3   00-03-6c-29-ba-b0 to 00-03-6c-29-ba-df 1.4    5.4(2)     5.5(7)

Mod Sub-Type                Sub-Model           Sub-Serial  Sub-Hw
--- ----------------------- ------------------- ----------- ------
1   L3 Switching Engine     WS-F6K-PFC          SAD04240L70 1.1
2   L3 Switching Engine     WS-F6K-PFC          SAD04220KC5 1.1
Cat6000> (enable)

Neste exemplo, suponha que esse Catalyst 6509 seja um switch central na rede. Os MSFCs duais do Switch funcionarão como servidores NTP para outros roteadores e Switches das rede (incluindo o mecanismo supervisor desse mesmo Switch).

Os MSFCs sincronizarão seus relógios com um servidor NTP mestre, localizado em uma sub-rede remota na rede. Na prática, esse pode ser um servidor NTP local privado ou um servidor NTP público. Em qualquer caso, esse servidor deve tipicamente sincronizar seu tempo com outro relógio de estrato mais baixo; por exemplo, um relógio atômico.

Os MSFCs duplos neste exemplo têm a sincronização de configuração (config-sync) ativada. Isso sincroniza automaticamente a configuração no MSFC designado para o MSFC não designado. Consulte a seção Informações Relacionadas para obter mais informações sobre config-sync.

Aqui está a configuração do MSFC15 (o MSFC designado). A configuração no MSFC16 é exatamente a mesma, exceto que, para os comandos em que o comando alt é especificado, o MSFC16 usa o comando após a palavra-chave alt. Por exemplo, o nome de host de MSFC15 é MSFC15; o nome de host do MSFC16 é MSFC16.

version 12.1
no service pad
!

!--- Enable service timestamps datetime!

service timestamps debug datetime msec localtime
service timestamps log datetime msec localtime
!
no service password-encryption
!
!

!--- Hostnames for the MSFCs.

hostname MSFC15 alt hostname MSFC16
!
boot system flash bootflash:c6msfc-jsv-mz.121-6.E.bin
enable password cisco
!
!
!Both MSFCs are in the PST timezone
clock timezone PST -8
!

!--- Both MSFCs will adjust the clock for Daylight Saving Time.

clock summer-time PDT recurring
!

!--- If connectivity to the NTP server is lost, the calendar is used.

!as an authoritative time source
clock calendar-valid
!
!
ip subnet-zero
!
!
no ip finger
ip domain-name corp.com
ip name-server 172.16.55.120
ip name-server 171.16.60.120
!
!
!config-sync is enabled
redundancy
 high-availability
 config-sync
!
!
!

!--- Each MSFC has a loopback0 interface in a different /30 subnet.

interface Loopback0
 ip address 10.10.10.1 255.255.255.252 alt ip address 10.10.10.5 255.255.255.252
!
!

!--- VLAN 1 is the management subnet, where the switch sc0 interface is located.

interface Vlan1
 description Network Management Subnet
 ip address 172.16.100.2 255.255.255.0 alt ip address 172.16.100.3 255.255.255.0
 no ip redirects
 standby 1 priority 105 preempt alt standby 1 priority 100 preempt
 standby 1 ip 172.16.100.1 alt standby 1 ip 172.16.100.1
!

<VARIOUS VLAN INTERFACES NOT RELEVANT TO THIS EXAMPLE>

!
router eigrp 10
 network 10.0.0.0
 network 172.0.0.0
 network 172.0.0.0 0.255.255.255
 no auto-summary
 eigrp log-neighbor-changes
!
ip classless
no ip http server
!
!
!
line con 0
 transport input none
line vty 0 4
 password cisco
 login
 transport input lat pad mop telnet rlogin udptn nasi
!
!

!--- Each MSFC uses the IP address of the loopback0 interface as !--- the source IP for NTP packets.

ntp source Loopback0
!

!--- The MSFCs will update the hardware calendar with the NTP time.

ntp update-calendar
!

!--- Both MSFCs are getting the time from 10.100.100.1.

ntp server 10.100.100.1
!
end

Nota:Alguns comandos não oferecem suporte à palavra-chave alt e, portanto, não podem ser utilizados com o config-sync. Um exemplo é o comando ntp peer. O suporte de sincronização de configuração para esse comando permitiria que o MSFC15 e o MSFC16 estabelecessem uma relação de peer NTP. Se esse é um requisito na rede, você pode desativar config-sync e manualmente garantir que as configurações nos dois MSFCs atendam aos requisitos para os sistemas MSFC duais. Consulte a seção Informações Relacionadas para obter mais informações.

No mecanismo supervisor, a interface de gerenciamento sc0 (172.16.100.100) pertence à VLAN 1. O gateway padrão do switch é o endereço IP do Hot Standby Router Protocol (HSRP) na interface VLAN 1 (172.16.100.1)

O Supervisor Engine aponta para os dois servidores NTP para redundância, as interfaces loopback0 em MSFC15 e MSFC16. Outros Switches e roteadores na rede estão configurados para fazer o mesmo.

Uma desvantagem desta implementação é que, se o Switch inteiro falhar, outros dispositivos da rede perdem a sincronização. Uma configuração alternativa para redundância teria MSFCs em chassis diferentes configurados como servidores NTP, de modo que se um chassi falhasse, o outro continuaria a funcionar como o servidor NTP.

Esta é a configuração NTP no switch:

#ntp
#
#NTP client mode is enabled
set ntp client enable
#
#NTP server IP addresses (loopback0 interfaces on MSFC15 and MSFC16)
set ntp server 10.10.10.1
set ntp server 10.10.10.5
#
#Switch is in the PST timezone
set timezone PST -8 0
#
#Switch will adjust clock for Daylight Saving Time
set summertime enable PDT
set summertime recurring first Sunday April 02:00 last Sunday October 02:00 60

Usando a autenticação NTP

A autenticação NTP adiciona um nível de segurança à sua configuração NTP. Configure uma série de chave de NTP em cada dispositivo. A chave é criptografada com um algoritmo de hashing de Message Digest 5 (MD5), e a chave criptografada é passada em cada pacote NTP. Para que um pacote NTP seja processado, a chave é verificada com base na chave configurada no dispositivo receptor.

Esta é a configuração do MSFC15 (o MSFC designado) com os comandos de autenticação NTP adicionados. A configuração no MSFC16 é exatamente a mesma.

!--- The key string for NTP authentication key 10 is "ticktock"


!--- (the key string is shown encrypted in the configuration)

ntp authentication-key 10 md5 ticktock
!

!--- Enables NTP authentication

ntp authenticate
!

!--- Makes NTP authentication key "10" a trusted key

ntp trusted-key 10
!
ntp source Loopback0
ntp update-calendar
ntp server 10.100.100.1

Esta é a configuração NTP no switch com autenticação NTP habilitada:

#ntp
set ntp client enable
#
#Enables NTP authentication
set ntp authentication enable
#
#The key string for NTP authentication key 10 is "ticktock"
#(the key string is shown encrypted in the configuration)
set ntp key 10 trusted md5 ticktock
#
#NTP server IP addresses, configured to use authentication key 10
set ntp server 10.10.10.1 key 10
set ntp server 10.10.10.5 key 10
#
set timezone PST -8 0
set summertime enable PDT
set summertime recurring first Sunday April 02:00 last Sunday October 02:00 60

Troubleshooting

O relógio está dessincronizado

O problema do relógio não sincronizado ocorre quando o mestre do NTP não autentica a solicitação do cliente NTP. Esse tipo de problema pode ocorrer quando a chave de autenticação e a senha não estão configuradas na extremidade mestre.

Essa dessincronização de relógio pode ser confirmada com a saída dos comandos show ntp status e show ntp association detail.

R2#show ntp status
Clock is unsynchronized, stratum 16, no reference clock

!--- Output suppressed.

Na saída do comando show anterior, o relógio está dessincronizado e nenhum relógio de referência confirma a sincronização do relógio

R2#show ntp association detail
12.0.0.1 configured, insane, invalid, unsynced, stratum 16

!--- Output suppressed.

A partir desta saída, insane, invalid, unsynced confirma a dessincronização do relógio do cliente com o mestre.

Informações Relacionadas

• Executando o Guia Básico de Configuração de Gerenciamento do Sistema para IOS 12.1, incluindo a configuração NTP
• Configurando NTP para Switches Catalyst 6000
• Suporte Técnico e Documentação - Cisco Systems