NTP dziwne zachowanie.

[Tekla445]

Hej,

Na początek refleksja - myślę, że NTP jest protokołem kiepsko opisanym przez Cisco oraz na dodatek rządzący się domyślnymi prawami, które jeszcze dodatkowo wchodzą w życie z opóźnieniem więc na prawdę, czasami ciężko zorientować się jak komendy wpływają na NTP.

Ale do rzeczy. Więc, sprawa rozgrywa się ruterze 871, IOS któryś tam z 12.4. Na tym pudełku ustawiam najprostszą konfigurację NTP:

Kod: Zaznacz cały

ntp source fa 4 

(czyli wyjście na świat)

Kod: Zaznacz cały

ntp server 212.244.36.227

Potem, przez kilka minut, mam gwiazdkę synchronizacji przy tym serwerze, gdy wyświetlam

Kod: Zaznacz cały

sho ntp ass 

Następnie gwiazdka znika i pojawia się ~ i tyle... i dlaczego? Na innym ruterze (2600) takie zjawisko nie zachodzi.

ACLka na Fa 4:

Kod: Zaznacz cały

Extended IP access list IP_FRAG_DEN
    10 deny ip any any fragments (6 matches)
    20 deny tcp any any fragments
    30 deny udp any any fragments
    40 deny icmp any any fragments
    50 deny ip any any option any-options (6837 matches)
    60 deny ip any any ttl lt 6 (8 matches)
    70 permit ip any any (5170808 matches)

Poza tym, pomimo tego, że już nie ma gwazdki synchronizacji, dostaje poniższy log z )#ntp logging :

Kod: Zaznacz cały

.May 11 22:33:05.595: %SEC-6-IPACCESSLOGNP: list 1 permitted 0 10.24.9.2 -> 0.0.0.0, 2 packets
.May 11 22:33:59.960: %SYS-6-CLOCKUPDATE: System clock has been updated from 22:33:59 Kosmos Sat May 11 2013 to 22:33:59 Kosmos Sat May 11 2013, configured from NTP by 212.244.36.228

Czyli jakby się, mimo wszystko, synchronizował... kurcze, no na prawdę nie kapuję.

Prośba o pomoc doświadczonych kolegów

EDIT: Do listingów konfiguracji, show, debug, etc używamy znaczników

Kod: Zaznacz cały

 :!:
Seba

[garfield]

sprawdź bez tego wpisu:

Kod: Zaznacz cały

 60 deny ip any any ttl lt 6

[lbromirs]

Hej,

Na początek refleksja - myślę, że NTP jest protokołem kiepsko opisanym przez Cisco oraz na dodatek rządzący się domyślnymi prawami, które jeszcze dodatkowo wchodzą w życie z opóźnieniem więc na prawdę, czasami ciężko zorientować się jak komendy wpływają na NTP.

Zajrzyj najpierw do RFC, które NTP opisują, żeby zrozumieć co chcesz skonfigurować. Potem przeczytaj podręcznik konfiguracji IOS i ewentualnie zajrzyj do opisu poszczególnych poleceń. Na koniec możesz jeszcze użyć google'a żeby znaleźć dokument na stronach Cisco opisujący rozwiązywanie problemów z NTP. Wygląda na to, że nie zrobiłeś dokładnie nic z tego co napisałem ze zrozumieniem.

Refleksje zostaw sobie na później.

Kod: Zaznacz cały

# ntp source fa 4 (czyli wyjście na świat)
# ntp server 212.244.36.227

Potem, przez kilka minut, mam gwiazdkę synchronizacji przy tym serwerze, gdy wyświetlam )# sho ntp ass

Następnie gwiazdka znika i pojawia się ~ i tyle... i dlaczego? Na innym ruterze (2600) takie zjawisko nie zachodzi.

8xx nie mają zegara czasu rzeczywistego, 2600 ma. Nie mamy magicznej kuli, żeby wywróżyć z fusów, co konkretnie z NTP jest u Ciebie źle, bo nie podałeś nawet podstawowych zrzutów poleceń.

BTW, nie używaj jakiejś magicznej składni typu ')#' tylko znacznika code do oznaczania fragmentów kodu.

[Tekla445]

Garfield, kurcze, trochę nie chcę rezygnować z kodu:

Kod: Zaznacz cały

60 deny ip any any ttl lt 6

To zawsze jakaś forma zabezpieczenia. Tym bardziej, że ruter 800 łapie synchronizację, a potem ją porzuca...

Seba, dzięki za przywołanie do porządku, faktycznie nie używałem kodu.

Lbromirs, ech... dlaczego zakładasz, że nie przeczytałem dokumentacji, ależ przeczytałem, przeczytałem i googlałem a mimo wszystko nie działa, tak jak powinno, więc podejrzewam, że są jakieś wyjątki w zależności od modelu rutera.
Specjalnie dla Ciebie, to o czym pisałem wyżej, ale w innej formie:

Konfiguruję zegar:

Kod: Zaznacz cały

clock timezone Kosmos 2

NTP w najprostszej postaci:

Kod: Zaznacz cały

ntp source FastEthernet4
ntp server 212.244.36.228
ntp server 212.244.36.227 prefer

I teraz dostaje coś takiego:

Kod: Zaznacz cały

#sho ntp ass

      address         ref clock     st  when  poll reach  delay  offset    disp
 ~212.244.36.228   .PPS.             1    44    64    0    67.2  264.02  16000.
 ~212.244.36.227   .PPS.             1   16h    64    0    62.5  265.47  16000.

I teraz pytanie konkretnie pytanie - dlaczego nie dostaję gwiazdki, tylko ~? Wygląda jakby mimo wszystko ruter się nie synchronizował. Poza tym, dostaję poniższy wynik gdy chcę zobaczyć ntp det:

Kod: Zaznacz cały

#sho ntp ass det
212.244.36.228 configured, insane, invalid, stratum 1
ref ID .PPS., time D53A000A.C265E02F (13:48:26.759 Kosmos Sun May 12 2013)
our mode client, peer mode server, our poll intvl 64, peer poll intvl 64
root delay 0.00 msec, root disp 0.46, reach 0, sync dist 15909.088
delay 67.25 msec, offset 264.9114 msec, dispersion 16000.00
precision 2**20, version 3
org time 00000000.00000000 (02:00:00.000 Kosmos Mon Jan 1 1900)
rcv time 00000000.00000000 (02:00:00.000 Kosmos Mon Jan 1 1900)
xmt time 00000000.00000000 (02:00:00.000 Kosmos Mon Jan 1 1900)
filtdelay =     0.00    0.00    0.00    0.00    0.00    0.00    0.00    0.00
filtoffset =    0.00    0.00    0.00    0.00    0.00    0.00    0.00    0.00
filterror =  16000.0 16000.0 16000.0 16000.0 16000.0 16000.0 16000.0 16000.0

Insane i invalid... czy tak powinno być? Jak ustawiam podobną konfigurację na 2600 bardzo szybko dostaję gwiazdkę obok jednego z serwerów i jest ok.

To z rutera 2600:

Kod: Zaznacz cały

#sho ntp ass

      address         ref clock     st  when  poll reach  delay  offset    disp
*~212.244.36.227   .PPS.             1    18   128  377    64.0   -1.55     0.9

Czy wyraziłem się jaśniej? Prośba o pomoc, i dzięki z góry!


Hmm, ale z drugiej strony, jak dopisałem kolejny serwer NTP, to już jest tak:

Kod: Zaznacz cały

RTRDM01#sho ntp ass

      address         ref clock     st  when  poll reach  delay  offset    disp
*~212.244.36.228   .PPS.             1     2    64  377    63.3  5615.1    15.7
+~127.127.7.1      127.127.7.1       2     2    64  377     0.0    0.00     0.0
 ~212.244.36.227   0.0.0.0          16     -    64    0     0.0    0.00  16000.
 * master (synced), # master (unsynced), + selected, - candidate, ~ configured

Czyżby niedyspozycja jednego z serwerów NTP?...

[Slomek.]

Powinien być sane valid Ty masz niezsynchronizowany. Zrób jeszcze mały eksperyment tj usuń konfigurację ntp i dodaj tylko preferowany serwer i zobacz czy się zestawi. Zwróć uwagę na jitter (dispersion).

Pozdr

[Tekla445]

Slomek, dzięki za zainteresowanie! Sprawdzę jak tylko znajdę chwilę i napiszę co się stało!!!

Ok, więc wykasowałem całe ustawienia NTP, a potem jeszcze na terminalu wklepałem: no ntp.

Następnie wprowadziłem tylko takie ustawienia:

Kod: Zaznacz cały

ntp logging
ntp source FastEthernet4
ntp server 212.244.36.227

z interfejsu fa 4 zdjąłem tymczasowo zupełnie ACLkę, więc wjazd do domu mam otwarty i zupełny brak synchronizacji:

Kod: Zaznacz cały

sho ntp ass

      address         ref clock     st  when  poll reach  delay  offset    disp
 ~212.244.36.227   0.0.0.0          16     -    64    0     0.0    0.00  16000.
 * master (synced), # master (unsynced), + selected, - candidate, ~ configured

Show logingu:

Kod: Zaznacz cały

May 20 22:38:13.164: %NTP-4-PEERUNREACH: Peer 212.244.36.227 is unreachable

Pomimo tego, że:

Kod: Zaznacz cały

Sending 5, 100-byte ICMP Echos to 212.244.36.227, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 60/62/64 ms

Co ciekawe, ruter 2600, który jest za tą 800tką spokojnie synchronizuje czas z tymi samymi serwerami NTP.

Natomiast po dołożeniu komendy ntp master 3, wygląda to tak:

Kod: Zaznacz cały

RTRDM01#sho ntp ass

      address         ref clock     st  when  poll reach  delay  offset    disp
*~127.127.7.1      127.127.7.1       2     0    64   77     0.0    0.00   375.0
 ~212.244.36.227   0.0.0.0          16     -    64    0     0.0    0.00  16000.
 * master (synced), # master (unsynced), + selected, - candidate, ~ configured

Będę bardzo wdzięczny za sugestie!

[lbromirs]

Dziwna sprawa.

Spróbuj wpisać cztery serwery - nie konfiguruj sobie 'ntp master X', bo próbujesz oszukać swój własny router

212.244.36.227
212.244.36.228
193.110.137.171
150.254.183.15

Zostaw to na 10 minut i zobacz potem jak to wygląda, zrzuć nam razem z 'detail' jeżeli nadal będzie problem. Tak czy inaczej powinieneś mieć co najmniej dwa różne serwery skonfigurowane. Oba rządowe tempusy stoją w tej samej podsieci, to nie jest dobry model dla przeżycia jakiejś dużej awarii.

[Tekla445]

No niestety, zrobiłem tak jak pisałeś i mam:

Kod: Zaznacz cały

RTRDM01#sho ntp ass

      address         ref clock     st  when  poll reach  delay  offset    disp
 ~212.244.36.228   .PPS.             1    51    64    0    63.4  265.73  16000.
 ~193.110.137.171  .ATOM.            1    51    64    0     9.1  262.06  16000.
 ~212.244.36.227   0.0.0.0          16     -    64    0     0.0    0.00  16000.
 ~150.254.183.15   213.222.193.35    2    51    64    0    39.4  253.08  16000.
 * master (synced), # master (unsynced), + selected, - candidate, ~ configured

I to jest po godzinie od konfiguracji.

Wcześniej ustawiłem mastera, ponieważ chciałem, żeby ten ruter był serwerem NTP dla laba.

Ale co ciekawe, poniżen Clock details

Kod: Zaznacz cały

RTRDM01#sho clock det
.21:45:43.042 Kosmos Tue May 21 2013
Time source is NTP

czyli wygląda jakby NTP jednak jakoś synchronizował czas na ruterze, a poza tym jeszcze logi:

Kod: Zaznacz cały

May 21 21:46:17.475: %SYS-6-CLOCKUPDATE: System clock has been updated from 21:46:17 Kosmos Tue May 21 2013 to 21:46:17 Kosmos Tue May 21 2013, configured from NTP by 212.244.36.228.

Czyli normalnie zdaje się, że jednak NTP kontroluje czas na ruterze, pomimo tego, że jest unreliable i insane...

Normalnie nie kapuję, a stojąca za tym ruterem 2600tka spokojnie synchronizuje sobie czas:

Kod: Zaznacz cały

Radium20#sho ntp ass

      address         ref clock     st  when  poll reach  delay  offset    disp
 ~212.244.36.228   0.0.0.0          16     -  1024    0     0.0    0.00  16000.
*~193.110.137.171  .ATOM.            1   155   256  117    11.1    0.61  1001.5
+~150.254.183.15   213.222.193.35    2   242   256  217    40.2   -9.51  1500.9
 * master (synced), # master (unsynced), + selected, - candidate, ~ configured

[Tekla445]

No za nic nie mogę zsynchronizować tego rutera z NTP... teraz wpadłem na pomysł, że na interfejsie, z którym łącze się z siecią zewnętrzną mam ustawiony inny adres MAC niż Burned In.

Czy to może mieć jakiś wpływ na nie działające NTP?

(nie mogę zmienić adresu na próbę, bo tylko taki mam uzgodniony z dostawcą internetu)

[Neferith]

Moze to byc wina ustawien serwera NTP, a nie routera. Jesli masz dostep do serwera NTP, to dokonaj ustawien, jak opisano tutaj (szczegolnie ostatni post):
https://supportforums.cisco.com/thread/164643

Daj znac, czy pomoglo!