了解SD-WAN控制器中的NTP关联代码
简介
本文档介绍如何了解SD-WAN控制器上的NTP关联状态代码。
先决条件
- 必须允许NTP服务在所有控制器的VPN 0隧道接口内部allow-service ntp。如果不允许该服务,请使用此过程启用它。
config t
vpn 0
!
interface eth1
tunnel-interface
allow-service ntp
!
commit
- 所有控制器也必须配置NTP。有关通过CLI或vManage模板配置NTP的信息,请参阅官方文档。
- 重叠中的所有控制器和所有节点必须使用相同的NTP服务器配置才能具有相同的日期/小时。不同的日期/小时设置可能导致控制连接建立中出现问题。
注意:有关NTP配置,请参阅使用Cisco Vmanage配置NTP服务器并使用CLI配置NTP。
注意:有关控制连接建立问题的其他参考,请参阅SD-WAN控制连接故障排除。
使用的组件
本文档基于以下软件和硬件版本:
- SD-WAN控制器版本20.9.3
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
SD-WAN控制器可以与网络时间协议(NTP)服务器关联,以实现网络时钟同步。NTP建立在用户数据报协议(UDP)端口13之上,提供无连接传输方法。
在Viptela OS中,show ntp associations命令在连接过程中显示不同的代码,提供有关同步所处阶段的信息。这些信息可用于了解状态或排除潜在问题。
问题
NTP关联状态可以显示不同的值,有助于找到NTP问题的根本原因,但仍需要人工可读的解释。
场景1:NTP连接已成功建立,代码为961a。
vBond1# show ntp associations
LAST
IDX ASSOCID STATUS CONF REACHABILITY AUTH CONDITION EVENT COUNT
-----------------------------------------------------------------------------
1 42171 961a yes yes none sys.peer reachable 1
场景2:未建立NTP连接,代码为8023。
vManage# show ntp associations
LAST
IDX ASSOCID STATUS CONF REACHABILITY AUTH CONDITION EVENT COUNT
----------------------------------------------------------------------------
1 14598 8023 yes no none reject mobilize 1
解决方案
代码解释
使用从场景1和场景2获取的这些代码,可以将信息转换为人类可读的信息。
- 解码第一个字节:
- 场景1:从获得的代码961a来看,第一个字节9表示10+80(可到达并在ntp.conf中配置)。
- 场景2:从获得的代码8023中,第一个字节8表示NTP服务器已配置但无法访问。
| 代码 | 邮件 | 描述 |
| 08 | bcst | 广播关联 |
| 10 | 覆盖范围 | 主机可访问 |
| 20 | authenb | 已启用身份验证 |
| 40 | 身份验证 | 确定 |
| 80 | config | 持久关联 |
- 解码第二个字节:
- 场景1:从获得的代码961a来看,第二个字节6表示它是系统对等体。
- 场景2:从获得的代码8023中,第二个字节0表示因无效而被丢弃。
| 代码 | 邮件 | T | 描述 |
| 0 | sel_reject | 被放弃为无效(TEST10-TEST13) | |
| 1 | sel_falsetick | X | 交集算法丢弃 |
| 2 | sel_excess | . | 被表溢出丢弃(未使用) |
| 3 | sel_outlyer | - | 被集群算法丢弃 |
| 4 | sel_candidate | + | 包括于合并算法中 |
| 5 | sel_backup | # | 备份(多于tos maxclock源) |
| 6 | sel_sys.peer | * | 系统对等体 |
| 7 | sel_pps.peer | o | PPS对等体(当首选对等体有效时) |
- 解码第三和第四个字节:第三字节是第四字节发生的次数。
- 场景1:根据获取的代码961a,第三和第四个字节1a表示设备曾经成为系统对等体。
- 场景2:根据获取的代码8023,第三个和第四个字节23表示NTP已配置、不可访问、被丢弃为无效,并且已两次尝试访问它,但未成功。
| 代码 | 邮件 | 描述 |
| 01 | 动员 | 关联已移动 |
| 02 | 遣散 | 已复员协会 |
| 03 | 无法到达 | 服务器无法接通 |
| 04 | 可访问 | 服务器可访问 |
| 05 | 重新启动 | 关联重启 |
| 06 | no_reply | 找不到服务器(ntpdate模式) |
| 07 | rate_exceeded | 已超出速率(接吻代码RATE) |
| 08 | 访问被拒绝 | 拒绝访问(接吻代码DENY) |
| 09 | leap_armed | 从服务器LI代码启动leap |
| 0a | sys_peer | 成为系统对等体 |
| 0b | clock_event | 参见时钟状态字 |
| 0c | bad_auth | 身份验证失败 |
| 0d | 爆米花 | 爆米花穗抑制器 |
| 0e | interleave_mode | 进入交织模式 |
| 0f | interleave_error | 交织错误(已恢复) |
注意:有关NTP关联代码的更多参考,请参阅RFC5905。
结论
- 场景1中的代码961a表示:
- NTP服务器可访问,并在ntp.conf(第9字节)中配置。
- 它是系统对等体(第6字节)。
- 曾经成为系统对等体(字节1和字节a)。
- 场景2中的代码8023表示:
- NTP服务器已配置,但无法访问(字节8)。
- 这意味着该字段将被丢弃为无效(字节0)。
- 这意味着NTP已配置、无法访问、被丢弃为无效,并且已两次尝试访问该协议,但未成功。(字节2和字节3)。
有用的命令
除show ntp associations外,这些命令还可用于NTP故障排除目的。
- show ntp peer:显示Cisco SD-WAN软件正与其同步时钟的NTP对等体的相关信息。
- tcpdump test:Tcpdump测试可用于确认控制器与NTP服务器之间是否正在发送和接收数据包。
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
03-Oct-2023 |
初始版本 |
反馈