Cisco ISE的NTP同步问题

Question

我们实验室里有一个Cisco ISE 2.0正在做一些802.1X测试。为了具有同步时间，我们使用与ISE相同的子网中的NTP服务器同步所有组件(基于Bluecat设备的第3层)。所有开关、防火墙和其他组件都使用它作为时区，而且它可以工作。

我在Cisco ISE上配置了相同的NTP服务器，但即使在多次重新启动之后，它也不会使用它作为NTP源。

ise/admin# sh run | i ntp
ntp server 146.140.66.230
ntp server 62.75.254.179

ise/admin# sh run | i timezone
clock timezone CET

ise/admin# sh ntp
Configured NTP Servers:
  146.140.66.230
  62.75.254.179

synchronised to local net at stratum 11
   time correct to within 11 ms
   polling server every 64 s

     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*127.127.1.0     .LOCL.          10 l   16   64  377    0.000    0.000   0.000
 146.140.66.230  192.76.247.100   3 u   51   64  377    0.221  134683. 21473.0
 62.75.254.179   5.100.133.221    2 u   41   64  377    3.941  142841. 14340.1

* Current time source, + Candidate , x False ticker

Warning: Output results may conflict during periods of changing synchronization.

它们都是可访问的(第一个甚至在同一个子网中)，在延迟/抖动值中也可以看到。有趣的是，对于这两台时间服务器，偏移量有相当大的差异。然而，偏移量大致是正确的，略多于2分钟。由于我没有访问根shell的权限，所以不能像这个技术注释所指示的那样使用ntpq。此外，据我所知，这两个服务器都不是Microsoft。

Update1

为了确保它不是NTP服务器问题，我将一个Cisco路由器配置为NTP服务器，它本身使用146.140.66.230。ISE承认它是第4层服务器，但不选择它作为时间源。

有什么解决这个问题的线索吗？

Answer 1

NTP之所以选择使用本地时间源，是因为它认为它比您配置的其他源“更好”(或更值得信赖)。地层是NTP在确定其来源时将使用的一条信息。

在您的例子中，其他两个服务器有很大的不同时间(在NTP看来)--至少可以说，这两个服务器的当前设置时间和抖动值是极端的。基于这些信息，NTP选择在您配置的服务器上继续使用本地时间源。

首先，在本地网络上设置自己的时间服务器(或服务器)，并将其配置为与可靠的时间源同步(不要使用ntp池服务器)。例如，飓风电气维护了几个供公众使用的NTP服务器。虽然他们提供了三个，但我建议你从多个组织中找到可靠的来源。使用Linux平台非常容易，或者您可以像前面提到的那样使用您的路由器(尽管这会给路由器带来更多的负载)。

现在，将ISE和其他设备配置为与本地时间源同步。只要您的本地时间来源没有问题，它的来源，这一次应该被选择的地方时钟。