Typische Stolperfallen (Route/DNS)
Du kennst das: Switch läuft, aber Uhrzeit driftet weg oder ist komplett daneben – und bei Logs, Zertifikaten, RADIUS/802.1X oder Fehleranalyse wird’s dann richtig unerquicklich. In meinem Fall ging es um einen HPE Aruba AOS-CX Switch (u. a. die CX 6100-Serie). NTP war zwar konfiguriert, aber der Status blieb hartnäckig auf “Not synchronized with an NTP server.”.
Damit du (oder dein zukünftiges Ich) das schnell wieder sauber hinbekommst, hier ein praxistauglicher Ablauf – inklusive der zwei Klassiker, die fast immer vergessen werden: Default Route und DNS.
1) Ausgangslage prüfen: Uhrzeit und NTP-Status
Als erstes checke ich immer zwei Dinge:
- Aktuelle Uhrzeit / Zeitzone
- NTP-Status
Typische Commands auf AOS-CX:
show clock
show ntp status
Wenn du in show ntp status sowas siehst wie Enabled, aber trotzdem Not synchronized, ist NTP zwar aktiv – aber der Switch kommt nicht sauber bis zum Zeitserver durch oder bekommt keine verwertbaren Antworten.
2) Grundkonfiguration: Zeitzone + NTP-Server setzen
Dann setze ich die Basics. In meinem Beispiel:
configure
clock timezone europe/berlin
ntp enable
ntp server 0.de.pool.ntp.org iburst prefer
ntp server 1.de.pool.ntp.org iburst
ntp server 2.de.pool.ntp.org iburst
ntp server 3.de.pool.ntp.org iburst
exit
write memory
Hinweis: iburst sorgt dafür, dass beim Start schneller „angeschubst“ wird. prefer ist nice-to-have, wenn du einen Favoriten definieren willst.
Danach wieder prüfen:
show ntp status
show clock
Wenn’s jetzt synchronisiert: perfekt. Wenn nicht: weiter zu den Ursachen.
3) Der häufigste Grund: Keine Default Route / kein DNS
In meinem Fall war NTP zwar eingetragen – aber der Switch hatte keine saubere Ausleitung bzw. keine Namensauflösung (DNS). Ergebnis: NTP-Hostnames sind zwar konfiguriert, aber der Switch kann sie nicht zuverlässig erreichen.
3.1 DNS setzen (damit *.pool.ntp.org aufgelöst wird)
configure
ip dns server-address 10.23.45.1
ip dns server-address 1.1.1.1
exit
write memory
(Erster DNS gern dein Router/Firewall im VLAN, zweiter als Public-Fallback.)
3.2 Default Route setzen (damit der Switch überhaupt rauskommt)
configure
ip route 0.0.0.0/0 10.23.45.1
exit
write memory
3.3 Konnektivität testen (am besten im richtigen VRF)
Bei Aruba CX ist vrf default häufig der relevante Kontext (wie in meinen Tests):
ping 10.23.45.1 vrf default
ping 1.1.1.1 vrf default
ping 0.de.pool.ntp.org vrf default
Wenn Ping auf den Hostnamen klappt, weißt du: DNS + Routing funktionieren grundsätzlich.
4) Wenn Ping geht, aber NTP trotzdem nicht sync’t
Das ist der Punkt, wo viele hängen bleiben: ICMP klappt, aber NTP bleibt „unsynced“. Dann sind diese Ursachen besonders wahrscheinlich:
- UDP/123 wird geblockt (Firewall-Regel / UTM / Provider)
- NTP-Server antwortet, aber NTP-Antworten kommen nicht zurück (Stateful Firewall/NAT-Thema)
- Es dauert einfach ein paar Minuten (ja, manchmal wirklich) – trotzdem sollte sich in den Status-Infos irgendwann was bewegen
Was ich dann als nächstes mache:
show ntp status
…und wenn verfügbar (je nach Version/Feature-Set), zusätzlich sowas wie „Peers/Associations“ anzeigen. Falls du da gar keinen Kontakt siehst, ist UDP 123 der erste Verdächtige.
Pro-Tipp: Wenn dein Switch-Management-Netz (z. B. VLAN 200) „eigentlich“ isoliert ist, muss die Firewall explizit NTP (UDP 123) nach draußen erlauben – Ping ist da leider kein Beweis.