Cisco ISE 的 NTP 同步问题

网络工程 思科 ntp 思科
2021-07-17 22:55:24

我们的实验室中有一台 Cisco ISE 2.0,用于进行一些 802.1X 测试。为了同步时间,我们使用与 ISE 位于同一子网中的 NTP 服务器来同步所有组件(第 3 层,基于 Bluecat 设备)。所有交换机、防火墙和其他组件都将其用作时区并且可以正常工作。

我在 Cisco ISE 上配置了相同的 NTP 服务器,但即使在多次重新启动后,它也不会将其用作 NTP 源。

ise/admin# sh run | i ntp
ntp server 146.140.66.230
ntp server 62.75.254.179

ise/admin# sh run | i timezone
clock timezone CET

ise/admin# sh ntp
Configured NTP Servers:
  146.140.66.230
  62.75.254.179

synchronised to local net at stratum 11
   time correct to within 11 ms
   polling server every 64 s

     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*127.127.1.0     .LOCL.          10 l   16   64  377    0.000    0.000   0.000
 146.140.66.230  192.76.247.100   3 u   51   64  377    0.221  134683. 21473.0
 62.75.254.179   5.100.133.221    2 u   41   64  377    3.941  142841. 14340.1

* Current time source, + Candidate , x False ticker

Warning: Output results may conflict during periods of changing synchronization.

它们都是可达的(第一个甚至在同一个子网中),这也可以从延迟/抖动值中看出。有趣的是,偏移量在两个时间服务器上的差异非常显着。然而,偏移量大致正确,略多于 2 分钟。由于我无权访问 root shell,因此无法使用本技术说明中指示的 ntpq 此外,据我所知,两个服务器都不是 Microsoft NTP。

更新1

为了确保这不是 NTP 服务器问题,我将我们的一台 Cisco 路由器配置为 NTP 服务器,它本身使用 146.140.66.230。ISE 将其识别为第 4 层服务器,但不会选择它作为时间源。

任何提示如何解决这个问题?

2个回答

NTP 选择使用本地时间源,因为它认为它比您配置的其他源“更好”(或更值得信赖)。层只是 NTP 用于确定其来源的一条信息。

在你的情况下,其他两个服务器有显著(NTP中的观点)不同时间的当前设置时间,并为这两个服务器的抖动值是极端的,至少可以说。根据此信息,NTP 选择继续使用本地时间源而不是您已配置的服务器。

首先,在本地网络上设置自己的时间服务器(或多个服务器),并将其配置为与可靠的时间源同步(不要使用 ntp 池服务器)。例如,Hurricane Electric 维护多个NTP 服务器供公众使用虽然他们确实提供了三个,但我建议您从多个组织中寻找可靠的来源。使用 Linux 平台这很容易,或者您可以使用您提到的路由器(尽管这会给路由器带来更多负载)。

现在,配置 ISE 和其他设备以与您的本地时间源同步。只要您的本地时间源在获取它的源时没有问题,这个时间就应该在本地时钟上选择。

过类似的问题sh ntp status,即使使用后,使用本地application stop ise然后application start ise几天。我们决定尝试一下reload,在 ISE 盒启动后,它选择了一个好的网络时间源,并且从那时起一直正确地保持该时间。

其它你可能感兴趣的问题
上一篇以太通道负载平衡逻辑问题 下一篇如何在 RIPv2 中排除一个子网?