高可用性 Catalyst 6000 交换机的 NTP 示例配置

下载选项

  • PDF     (285.6 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (87.7 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (107.5 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2005 年 3 月 23 日
文档 ID:14978

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档提供了带有冗余 Supervisor 引擎和启用了配置同步的双 Multilayer Switch Feature Card (MSFC) 的 Catalyst 6000 系列交换机的网络时间协议 (NTP) 配置示例。

    开始使用前 

    规则

    有关文档规则的详细信息,请参阅 Cisco 技术提示规则。

    先决条件

    本文档没有任何特定的前提条件。

    使用的组件

    本文档不限于特定的软件和硬件版本。

    高可用性 Catalyst 6000 交换机的 NTP 示例配置

    图 1 所示为本示例配置的网络拓扑。

    图 1:网络拓扑

    83a.gif

    本示例显示了带冗余 Supervisor 引擎和 MSFC 的 Catalyst 6509。以下是该交换机的 show module 命令输出: 

    Cat6000> (enable) show module
Mod Slot Ports Module-Type               Model               Sub Status
--- ---- ----- ------------------------- ------------------- --- --------
1   1    2     1000BaseX Supervisor      WS-X6K-SUP1A-2GE    yes ok
15  1    1     Multilayer Switch Feature WS-F6K-MSFC         no  ok
2   2    2     1000BaseX Supervisor      WS-X6K-SUP1A-2GE    yes standby
16  2    1     Multilayer Switch Feature WS-F6K-MSFC         no  ok
3   3    48    10/100BaseTX Ethernet     WS-X6348-RJ-45      no  ok

Mod Module-Name         Serial-Num
--- ------------------- -----------
1                       SAD04240E48
15                      SAD042406UW
2                       SAD042400YL
16                      SAD042407KG
3                       SAL04440WY6

Mod MAC-Address(es)                        Hw     Fw         Sw
--- -------------------------------------- ------ ---------- -----------------
1   00-30-7b-96-7c-5a to 00-30-7b-96-7c-5b 3.1    5.3(1)     5.5(7)
    00-30-7b-96-7c-58 to 00-30-7b-96-7c-59
    00-02-7e-02-a0-00 to 00-02-7e-02-a3-ff
15  00-d0-d3-a3-b6-a7 to 00-d0-d3-a3-b6-e6 1.4    12.1(6)E   12.1(6)E
2   00-d0-c0-cf-72-12 to 00-d0-c0-cf-72-13 3.1    5.3(1)     5.5(7)
    00-d0-c0-cf-72-10 to 00-d0-c0-cf-72-11
16  00-d0-c0-cf-72-14 to 00-d0-c0-cf-72-53 1.4    12.1(6)E   12.1(6)E
3   00-03-6c-29-ba-b0 to 00-03-6c-29-ba-df 1.4    5.4(2)     5.5(7)

Mod Sub-Type                Sub-Model           Sub-Serial  Sub-Hw
--- ----------------------- ------------------- ----------- ------
1   L3 Switching Engine     WS-F6K-PFC          SAD04240L70 1.1
2   L3 Switching Engine     WS-F6K-PFC          SAD04220KC5 1.1
Cat6000> (enable)

    在本示例中,假设此 Catalyst 6509 是网络中的一个核心交换机。此交换机中的双 MSFC 将作为网络中其他路由器和交换机(包括此交换机本身的 Supervisor 引擎)的 NTP 服务器。

    MSFC 会将这些设备的时钟与位于网络的远程子网中的主 NTP 服务器同步。实际上,主 NTP 服务器可能是专用的本地 NTP 服务器或公用的 NTP 服务器。无论是哪种情况,此服务器通常会将其时间与另一个较低层时钟(如原子时钟)同步。

    本示例中的双 MSFC 启用了配置同步 (config-sync)。该功能会自动将指定的 MSFC 上的配置同步到非指定的 MSFC 上。有关配置同步的详细信息,请参阅相关信息部分。

    以下是 MSFC15(指定的 MSFC)的配置。 MSFC16 的配置与 MSFC15 的配置基本相同,但有一点例外,即在指定了 alt 命令的命令中,MSFC16 将使用 alt 关键字之后的命令。在以下示例中,MSFC15 的主机名为 MSFC15;MSFC16 的主机名为 MSFC16。 

    version 12.1
no service pad
!

!--- Enable service timestamps datetime!

service timestamps debug datetime msec localtime
service timestamps log datetime msec localtime
!
no service password-encryption
!
!

!--- Hostnames for the MSFCs.

hostname MSFC15 alt hostname MSFC16
!
boot system flash bootflash:c6msfc-jsv-mz.121-6.E.bin
enable password cisco
!
!
!Both MSFCs are in the PST timezone
clock timezone PST -8
!

!--- Both MSFCs will adjust the clock for Daylight Saving Time.

clock summer-time PDT recurring
!

!--- If connectivity to the NTP server is lost, the calendar is used.

!as an authoritative time source
clock calendar-valid
!
!
ip subnet-zero
!
!
no ip finger
ip domain-name corp.com
ip name-server 172.16.55.120
ip name-server 171.16.60.120
!
!
!config-sync is enabled
redundancy
 high-availability
 config-sync
!
!
!

!--- Each MSFC has a loopback0 interface in a different /30 subnet.

interface Loopback0
 ip address 10.10.10.1 255.255.255.252 alt ip address 10.10.10.5 255.255.255.252
!
!

!--- VLAN 1 is the management subnet, where the switch sc0 interface is located.

interface Vlan1
 description Network Management Subnet
 ip address 172.16.100.2 255.255.255.0 alt ip address 172.16.100.3 255.255.255.0
 no ip redirects
 standby 1 priority 105 preempt alt standby 1 priority 100 preempt
 standby 1 ip 172.16.100.1 alt standby 1 ip 172.16.100.1
!

<VARIOUS VLAN INTERFACES NOT RELEVANT TO THIS EXAMPLE>

!
router eigrp 10
 network 10.0.0.0
 network 172.0.0.0
 network 172.0.0.0 0.255.255.255
 no auto-summary
 eigrp log-neighbor-changes
!
ip classless
no ip http server
!
!
!
line con 0
 transport input none
line vty 0 4
 password cisco
 login
 transport input lat pad mop telnet rlogin udptn nasi
!
!

!--- Each MSFC uses the IP address of the loopback0 interface as !--- the source IP for NTP packets.

ntp source Loopback0
!

!--- The MSFCs will update the hardware calendar with the NTP time.

ntp update-calendar
!

!--- Both MSFCs are getting the time from 10.100.100.1.

ntp server 10.100.100.1
!
end

    注意:某些命令不支持alt关键字,因此不能与config-sync一起使用。例如 ntp peer 命令。若要使配置同步功能支持该命令,则配置同步功能必须允许 MSFC15 和 MSFC16 建立 NTP 对等体关系。如果您的网络要求使用该命令,则您可以禁用配置同步并通过手动方式确保两个 MSFC 上的配置满足双 MSFC 系统的要求。有关详细信息,请参阅相关信息部分。

    在管理引擎上,sc0管理接口(172.16.100.100)属于VLAN 1。交换机的默认网关是VLAN 1接口(172.16.100.1)上的热备用路由器协议(HSRP)IP地址

    管理引擎指向两台NTP服务器以实现冗余,即MSFC15和MSFC16上的loopback0接口。网络中的其他交换机和路由器也配置为执行相同操作。

    此实施方案的缺点是:如果整个交换机发生故障,则网络中的其他设备将不再同步。实现冗余的另一种配置方法是将不同机箱中的 MSFC 配置为 NTP 服务器,以便一个机箱发生故障时,另一个机箱中的 MSFC 能够继续作为 NTP 服务器工作。

    以下是交换机上的 NTP 配置: 

    #ntp
#
#NTP client mode is enabled
set ntp client enable
#
#NTP server IP addresses (loopback0 interfaces on MSFC15 and MSFC16)
set ntp server 10.10.10.1
set ntp server 10.10.10.5
#
#Switch is in the PST timezone
set timezone PST -8 0
#
#Switch will adjust clock for Daylight Saving Time
set summertime enable PDT
set summertime recurring first Sunday April 02:00 last Sunday October 02:00 60

    使用 NTP 认证

    NTP 认证可增强您的 NTP 配置的安全级别。您可以在每个设备上配置一个 NTP 密钥字符串。该密钥使用消息摘要 5 (MD5) 散列算法进行加密,且每个 NTP 数据包中都包含该密钥。在处理 NTP 数据包之前,需要将该密钥与接收设备上配置的密钥进行对比。

    以下是使用额外的 NTP 认证命令对 MSFC15(指定的 MSFC)进行配置的示例。MSFC16 的配置完全相同。 

    
!--- The key string for NTP authentication key 10 is "ticktock"


!--- (the key string is shown encrypted in the configuration)

ntp authentication-key 10 md5 ticktock
!

!--- Enables NTP authentication

ntp authenticate
!

!--- Makes NTP authentication key "10" a trusted key

ntp trusted-key 10
!
ntp source Loopback0
ntp update-calendar
ntp server 10.100.100.1

    以下是在启用了 NTP 认证的交换机上进行的 NTP 配置: 

    #ntp
set ntp client enable
#
#Enables NTP authentication
set ntp authentication enable
#
#The key string for NTP authentication key 10 is "ticktock"
#(the key string is shown encrypted in the configuration)
set ntp key 10 trusted md5 ticktock
#
#NTP server IP addresses, configured to use authentication key 10
set ntp server 10.10.10.1 key 10
set ntp server 10.10.10.5 key 10
#
set timezone PST -8 0
set summertime enable PDT
set summertime recurring first Sunday April 02:00 last Sunday October 02:00 60

    故障排除

    时钟不同步

    当 NTP 主设备无法认证 NTP 客户端请求时,会出现时钟不同步的问题。当主设备端没有配置认证密钥和口令时,会出现此类型的问题。

    可使用 show ntp status 和 show ntp association detail 命令的输出内容确认此时钟不同步问题。

    R2#show ntp status
Clock is unsynchronized, stratum 16, no reference clock

!--- Output suppressed.

    从上面的 show 命令输出中的 Clock is unsynchronized 以及 no reference clock 可以确认时钟不同步 

    R2#show ntp association detail
12.0.0.1 configured, insane, invalid, unsynced, stratum 16

!--- Output suppressed.

    从此输出中的 insane, invalid, unsynced 可以确认客户端与主设备的时钟不同步。

    相关信息

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品