Как грамотно настроить NTP на Cisco IOS

Как грамотно настроить NTP на Cisco IOS

Рубрики:

Новости, Сети

Метки:

, , ,

Рассмотрим, как настроить NTP (Network Time Protocol) на маршрутизаторе / коммутаторе Cisco, а также сделать тонкие настройки синхронизации времени.

Содержание:

  1. Для чего нужна синхронизация времени
  2. Что такое NTP
  3. Топология
  4. Начальные настройки на маршрутизаторе
  5. Начальные настройки на коммутаторах
  6. Настройки NTP на маршрутизаторе
  7. Настройки NTP на коммутаторах
  8. Проверка настроек
  9. Дополнительные настройки NTP на маршрутизаторе / коммутаторе Cisco
  10. Выводы

Для чего нужна синхронизация времени

Важно, чтобы системное время устройства было согласовано. И с точки зрения управления сетью, время должно быть синхронизировано между сетевыми устройствами по нескольким причинам:

  • управление паролями, которые изменяются в определенные временные интервалы;
  • обмен ключами шифрования;
  • проверка достоверности сертификатов на основе срока годности и времени;
  • корреляция событий безопасности на нескольких устройствах (маршрутизаторы, коммутаторы, брандмауэры, системы управления доступом к сети и так далее);
  • устранение неисправностей сетевых устройств и соответствующие события для определения корневой причины события.

Вручную установленные часы любого сетевого устройства не отличаются ни точностью, ни возможностями  масштабирования.

Лучшая практика — использовать протокол сетевого времени (NTP), упрощенный NTP (Simple NTP, SNTP) или протокол точного времени (Precision Time Protocol, PTP).

Что такое NTP

NTP предназначен для синхронизации времени во всей сетевой инфраструктуре, включая серверы, коммутаторы, маршрутизаторы, хост-машины, точки беспроводного доступа, устройства бесперебойного питания (UPS) и так далее.

NTP использует порт 123 UDP для источника и назначения по умолчанию.

Сеть NTP обычно получает свое исходное время от авторитетного источника времени, например, через GPS или от атомных часов, которые доступны в сети Интернет. Затем NTP распределяет время внутри локальной сети. Устройство, где настроен NTP, автоматически выбирает NTP-сервер с самым низким числом часового слоя (stratum).

Режимы NTP:

  • Сервер (Server). Предоставляет точную информацию о времени клиентам в сети.
  • Клиент (Client). Синхронизирует свое время с NTP-сервером. Этот режим наиболее подходит для файловых серверов, рабочих станций-клиентов и других устройств.
  • Одноранговые устройства (Peers). Устройства в этом режиме только обмениваются информацией о синхронизации времени.
  • Широковещательный / многоадресный режим (Broadcast / multicast). Специальный режим «push» сервера NTP, когда в локальную сеть рассылаются лавинообразно сообщения с информацией о времени.

В данной статье будут рассмотрены настройки NTP на маршрутизаторе и коммутаторе Cisco.

Топология

Исследуемая топология состоит из коммутатора Cisco 2960 с ПО Cisco IOS 15.0(2) LAN Base и маршрутизатора Cisco 2911 с ПО Cisco IOS 15.0 соответственно. Допускается использование других маршрутизаторов и версий Cisco IOS.

Схема топологии следующая:


Начальные настройки на маршрутизаторе

Начальные настройки на коммутаторах

Настройки NTP на маршрутизаторе

Настроим NTP-клиент на маршрутизаторе, введя команду несколько раз для того, чтобы подключится к нескольким серверам из пула:

 

Также настроим маршрутизатор в качестве NTP-сервера, указав значение часового слоя 2:

Настройки NTP на коммутаторах

Настроим NTP-клиент на коммутаторах:

Проверка настроек

Дополнительные настройки NTP на маршрутизаторе / коммутаторе Cisco

Для обеспечения безопасности при работе протокола NTP можно настроить аутентификацию и ограничение доступа с помощью списков контроля доступа.

Шаги настройки аутентификации:

Шаг 1. Определите ключ / ключи аутентификации NTP с помощью команды ntp authentication-key.
Шаг 2. Включите аутентификацию NTP, используя команду ntp authenticate.
Шаг 3. Укажите, какой ключ будет действительным для аутентификации NTP, используя команду ntp trusted-key. Единственный аргумент этой команды — это ключ, который был определен на первом шаге.
Шаг 4. Укажите NTP-сервер, который требует аутентификацию, используя команду ntp server ip-address key key-number. Также аналогично можно аутентифицировать NTP-peer, используя команду ntp peer ip-address key key-number.

Для NTP можно настроить следующие четыре ограничения с помощью списков доступа:

  • Peer. Запросы на синхронизацию времени и запросы контроля разрешены. Устройству разрешено синхронизировать себя с удаленными системами, которые попадают в список доступа.
  • Serve. Запросы на синхронизацию времени и запросы контроля разрешены. Устройству не разрешено синхронизировать себя с удаленными системами, которые попадают в список доступа.
  • Serve-only. Позволяет только запросы синхронизации.
  • Query-only. Позволяет только контрольные запросы.

Шаг настройки списков доступа для NTP:

Шаг 1. Задать список доступа с указанием интересующей сети или устройства access-list [sequence] {permit | deny } source source-wildcard
Шаг 2. Применить настроенный список доступа к NTP с помощью команды ntp access-group {peer | query-only | serve | serve-only}

Выводы

Спасибо за уделенное время на прочтение статьи. Теперь вы больше знаете о том, как настроить NTP на маршрутизаторе / коммутаторе с ПО Cisco IOS и сделать тонкие настройки протокола синхронизации времени (разные режимы, stratum, безопасность — аутентификация, списки контроля доступа)!

Если возникли вопросы, задавайте их в комментариях.

Подписывайтесь на обновления нашего блога и оставайтесь в курсе новостей мира инфокоммуникаций!

Чтобы знать больше и выделяться знаниями среди толпы IT-шников, записывайтесь на курсы Cisco, курсы по кибербезопасности, полный курс по кибербезопасности, курсы DevNet / DevOps (программируемые системы) от Академии Cisco, курсы Linux от Linux Professional Institute на платформе SEDICOMM University (Университет СЭДИКОММ).

Курсы Cisco, Linux, кибербезопасность, DevOps / DevNet, Python с трудоустройством!

Спешите подать заявку! Группы стартуют 25 января, 26 февраля, 22 марта, 26 апреля, 24 мая, 21 июня, 26 июля, 23 августа, 20 сентября, 25 октября, 22 ноября, 20 декабря.
Что Вы получите?
  • Поможем стать экспертом по сетевой инженерии, кибербезопасности, программируемым сетям и системам и получить международные сертификаты Cisco, Linux LPI, Python Institute.
  • Предлагаем проверенную программу с лучшими учебниками от экспертов из Cisco Networking Academy, Linux Professional Institute и Python Institute, помощь сертифицированных инструкторов и личного куратора.
  • Поможем с трудоустройством и стартом карьеры в сфере IT — 100% наших выпускников трудоустраиваются.
Как проходит обучение?
  • Проведем вечерние онлайн-лекции на нашей платформе.
  • Согласуем с вами удобное время для практик.
  • Если хотите индивидуальный график — обсудим и реализуем.
  • Личный куратор будет на связи, чтобы ответить на вопросы, проконсультировать и мотивировать придерживаться сроков сдачи экзаменов.
  • Всем, кто боится потерять мотивацию и не закончить обучение, предложим общение с профессиональным коучем.
А еще поможем Вам:
  • отредактировать или создать с нуля резюме;
  • подготовиться к техническим интервью;
  • подготовиться к конкурсу на понравившуюся вакансию;
  • устроиться на работу в Cisco по специальной программе. Наши студенты, которые уже работают там: жмите на #НашиВCisco Вконтакте, #НашиВCisco Facebook.
Чтобы учиться на курсах Cisco, Linux LPI, кибербезопасность, DevOps / DevNet, Python, подайте заявку или получите бесплатную консультацию.

Рубрики:

Новости, Сети

Метки:

, , ,

Больше похожих постов

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Заполните поле
Заполните поле
Пожалуйста, введите корректный адрес email.
Вы должны согласиться с условиями для продолжения

Поиск по сайту
Лучшее
Популярное
Рубрики
Меню