高可用性Catalyst 6000交換機的NTP配置示例

下載選項

  • PDF     (301.3 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (87.5 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (107.2 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2005 年 3 月 23 日
文件 ID:14978

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本檔案將提供具有備援Supervisor引擎和已啟用組態同步的雙層交換器功能卡(MSFC)的Catalyst 6000系列交換器的網路時間協定(NTP)組態範例。

    開始之前

    慣例

    如需文件慣例的詳細資訊,請參閱思科技術提示慣例。

    必要條件

    本文件沒有特定先決條件。

    採用元件

    本文件所述內容不限於特定軟體和硬體版本。

    高可用性Catalyst 6000交換機的NTP配置示例

    圖1顯示了此示例配置的網路拓撲。

    圖1:網路拓撲

    83a.gif

    此範例顯示具有備援Supervisor引擎和MSFC的Catalyst 6509。以下是show module命令從switch: 

    Cat6000> (enable) show module
Mod Slot Ports Module-Type               Model               Sub Status
--- ---- ----- ------------------------- ------------------- --- --------
1   1    2     1000BaseX Supervisor      WS-X6K-SUP1A-2GE    yes ok
15  1    1     Multilayer Switch Feature WS-F6K-MSFC         no  ok
2   2    2     1000BaseX Supervisor      WS-X6K-SUP1A-2GE    yes standby
16  2    1     Multilayer Switch Feature WS-F6K-MSFC         no  ok
3   3    48    10/100BaseTX Ethernet     WS-X6348-RJ-45      no  ok

Mod Module-Name         Serial-Num
--- ------------------- -----------
1                       SAD04240E48
15                      SAD042406UW
2                       SAD042400YL
16                      SAD042407KG
3                       SAL04440WY6

Mod MAC-Address(es)                        Hw     Fw         Sw
--- -------------------------------------- ------ ---------- -----------------
1   00-30-7b-96-7c-5a to 00-30-7b-96-7c-5b 3.1    5.3(1)     5.5(7)
    00-30-7b-96-7c-58 to 00-30-7b-96-7c-59
    00-02-7e-02-a0-00 to 00-02-7e-02-a3-ff
15  00-d0-d3-a3-b6-a7 to 00-d0-d3-a3-b6-e6 1.4    12.1(6)E   12.1(6)E
2   00-d0-c0-cf-72-12 to 00-d0-c0-cf-72-13 3.1    5.3(1)     5.5(7)
    00-d0-c0-cf-72-10 to 00-d0-c0-cf-72-11
16  00-d0-c0-cf-72-14 to 00-d0-c0-cf-72-53 1.4    12.1(6)E   12.1(6)E
3   00-03-6c-29-ba-b0 to 00-03-6c-29-ba-df 1.4    5.4(2)     5.5(7)

Mod Sub-Type                Sub-Model           Sub-Serial  Sub-Hw
--- ----------------------- ------------------- ----------- ------
1   L3 Switching Engine     WS-F6K-PFC          SAD04240L70 1.1
2   L3 Switching Engine     WS-F6K-PFC          SAD04220KC5 1.1
Cat6000> (enable)

    在以下範例中,假設此Catalyst 6509是網路中的核心交換器。交換機中的雙MSFC將用作網路中其他路由器和交換機的NTP伺服器(包括此交換機本身上的Supervisor引擎)。

    MSFC會將時鐘同步到位於網路中遠端子網中的主NTP伺服器。在實踐中,這可以是專用本地NTP伺服器,也可以是公共NTP伺服器。在任一情況下,此伺服器通常將其時間與另一個較低層的時鐘(例如原子時鐘)同步。

    本示例中的雙MSFC啟用了配置同步(config-sync)。這將自動將指定MSFC上的配置同步到非指定MSFC。有關config-sync的詳細資訊,請參閱相關資訊部分。

    以下是MSFC15(指定的MSFC)的組態。 MSFC16上的配置完全相同,不同之處在於,對於指定alt命令的命令,MSFC16使用alt關鍵字後的命令。例如,MSFC15的主機名為MSFC15;msfc16的主機名是MSFC16。 

    version 12.1
no service pad
!

!--- Enable service timestamps datetime!

service timestamps debug datetime msec localtime
service timestamps log datetime msec localtime
!
no service password-encryption
!
!

!--- Hostnames for the MSFCs.

hostname MSFC15 alt hostname MSFC16
!
boot system flash bootflash:c6msfc-jsv-mz.121-6.E.bin
enable password cisco
!
!
!Both MSFCs are in the PST timezone
clock timezone PST -8
!

!--- Both MSFCs will adjust the clock for Daylight Saving Time.

clock summer-time PDT recurring
!

!--- If connectivity to the NTP server is lost, the calendar is used.

!as an authoritative time source
clock calendar-valid
!
!
ip subnet-zero
!
!
no ip finger
ip domain-name corp.com
ip name-server 172.16.55.120
ip name-server 171.16.60.120
!
!
!config-sync is enabled
redundancy
 high-availability
 config-sync
!
!
!

!--- Each MSFC has a loopback0 interface in a different /30 subnet.

interface Loopback0
 ip address 10.10.10.1 255.255.255.252 alt ip address 10.10.10.5 255.255.255.252
!
!

!--- VLAN 1 is the management subnet, where the switch sc0 interface is located.

interface Vlan1
 description Network Management Subnet
 ip address 172.16.100.2 255.255.255.0 alt ip address 172.16.100.3 255.255.255.0
 no ip redirects
 standby 1 priority 105 preempt alt standby 1 priority 100 preempt
 standby 1 ip 172.16.100.1 alt standby 1 ip 172.16.100.1
!

<VARIOUS VLAN INTERFACES NOT RELEVANT TO THIS EXAMPLE>

!
router eigrp 10
 network 10.0.0.0
 network 172.0.0.0
 network 172.0.0.0 0.255.255.255
 no auto-summary
 eigrp log-neighbor-changes
!
ip classless
no ip http server
!
!
!
line con 0
 transport input none
line vty 0 4
 password cisco
 login
 transport input lat pad mop telnet rlogin udptn nasi
!
!

!--- Each MSFC uses the IP address of the loopback0 interface as !--- the source IP for NTP packets.

ntp source Loopback0
!

!--- The MSFCs will update the hardware calendar with the NTP time.

ntp update-calendar
!

!--- Both MSFCs are getting the time from 10.100.100.1.

ntp server 10.100.100.1
!
end

    注意:某些命令不支援alt關鍵字,因此不能與config-sync一起使用。例如ntp peer命令。此命令的配置同步支援將允許MSFC15和MSFC16建立NTP對等體關係。如果您的網路中有此要求,您可以停用config-sync,並手動確保兩個MSFC上的組態符合雙MSFC系統的要求。有關詳細資訊,請參閱相關資訊部分。

    在Supervisor引擎上,sc0管理介面(172.16.100.100)屬於VLAN 1。交換機的預設網關是VLAN 1介面(172.16.100.1)上的熱備用路由器協定(HSRP)IP地址

    Supervisor引擎指向兩個NTP伺服器以實現冗餘,即MSFC15和MSFC16上的環回介面0。網路中的其他交換機和路由器也配置為這樣做。

    這種實施方式的一個缺點是,如果整個交換機發生故障,網路中的其他裝置就會不同步。用於冗餘的備用配置將不同機箱中的MSFC配置為NTP伺服器,這樣,如果一個機箱發生故障,另一個機箱繼續作為NTP伺服器運行。

    這是交換器上的NTP組態: 

    #ntp
#
#NTP client mode is enabled
set ntp client enable
#
#NTP server IP addresses (loopback0 interfaces on MSFC15 and MSFC16)
set ntp server 10.10.10.1
set ntp server 10.10.10.5
#
#Switch is in the PST timezone
set timezone PST -8 0
#
#Switch will adjust clock for Daylight Saving Time
set summertime enable PDT
set summertime recurring first Sunday April 02:00 last Sunday October 02:00 60

    使用NTP身份驗證

    NTP身份驗證為NTP配置新增了一個安全級別。您可以在每台裝置上配置NTP金鑰字串。金鑰使用消息摘要5(MD5)雜湊演算法加密,加密的金鑰在每個NTP資料包中傳遞。處理NTP資料包之前,將根據接收裝置上配置的金鑰檢查金鑰。

    這是使用新增的NTP身份驗證命令配置MSFC15(指定的MSFC)。MSFC16上的配置完全相同。 

    
!--- The key string for NTP authentication key 10 is "ticktock"


!--- (the key string is shown encrypted in the configuration)

ntp authentication-key 10 md5 ticktock
!

!--- Enables NTP authentication

ntp authenticate
!

!--- Makes NTP authentication key "10" a trusted key

ntp trusted-key 10
!
ntp source Loopback0
ntp update-calendar
ntp server 10.100.100.1

    以下是已啟用NTP驗證的交換器上的NTP組態: 

    #ntp
set ntp client enable
#
#Enables NTP authentication
set ntp authentication enable
#
#The key string for NTP authentication key 10 is "ticktock"
#(the key string is shown encrypted in the configuration)
set ntp key 10 trusted md5 ticktock
#
#NTP server IP addresses, configured to use authentication key 10
set ntp server 10.10.10.1 key 10
set ntp server 10.10.10.5 key 10
#
set timezone PST -8 0
set summertime enable PDT
set summertime recurring first Sunday April 02:00 last Sunday October 02:00 60

    疑難排解

    時鐘不同步

    當NTP主伺服器未對NTP客戶端請求進行身份驗證時,出現時鐘不同步問題。在主端未配置身份驗證金鑰和密碼時,可能發生此類問題。

    可以使用show ntp statusshow ntp association detail命令的輸出確認此時鐘不同步。

    R2#show ntp status
Clock is unsynchronized, stratum 16, no reference clock

!--- Output suppressed.

    從前面的show命令輸出中,Clock is unsynchronized,no reference clock確認時鐘不同步 

    R2#show ntp association detail
12.0.0.1 configured, insane, invalid, unsynced, stratum 16

!--- Output suppressed.

    從此輸出中,insane, invalid, unsynced將確認客戶端與主裝置的時鐘不同步。

    相關資訊

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您

    本文件適用於這些產品