我们在网络中使用多台戴尔交换机(S3124、S3048 和 S4048,运行 OS9),并希望将它们用作 ntp 源。这很好,但它们均未响应 NTP 查询(ntpq -pn)。
我想要做的是监控它们是否已同步 NTP。如果 NTP 查询不可用,还有其他方法可以检查它们是否已同步吗?
答案1
这些只是观点和建议,而不是真正的答案。
不要这样做。如果您的交换机对于网络的运行至关重要(通常情况如此 :-),您希望它们的管理平面在发生不良事件时能够完全正常工作。可能发生的不良事件之一是使用 NTP 作为反射器的拒绝服务反射攻击,而交换机供应商通常无法修补此问题。因此,如果您的网络中以某种方式出现此类恶意软件,您希望在排除故障时您的交换机可用。
ntpq -pn是使用 NTP 模式 6 数据包(而不是普通 NTP 客户端数据包)的诊断命令。因此,仅仅因为您无法使用模式 6 查询交换机并不意味着它们不会提供时间。尝试将它们添加到客户端配置(或使用已弃用的一次性客户端ntpdate)进行测试。要查看相当于 的 NTP 统计信息
ntpq -pn,请登录交换机并使用本地诊断命令。我不确定这些交换机上的命令是什么,但在 Cisco IOS 上,命令是show ntp associations,这些戴尔上的命令可能类似。您还应该仔细检查交换机操作系统默认授予远程主机的 NTP 权限。默认情况下它不响应
ntpq -pn是一个好兆头,但请仔细检查您创建的 ACL 或运行的命令,以确保它能够抵御外部主机的滥用。