Рассмотрим, как настроить NTP (Network Time Protocol) на маршрутизаторе / коммутаторе Cisco, а также сделать тонкие настройки синхронизации времени.
Содержание:
- Для чего нужна синхронизация времени
- Что такое NTP
- Топология
- Начальные настройки на маршрутизаторе
- Начальные настройки на коммутаторах
- Настройки NTP на маршрутизаторе
- Настройки NTP на коммутаторах
- Проверка настроек
- Дополнительные настройки NTP на маршрутизаторе / коммутаторе Cisco
- Выводы
Для чего нужна синхронизация времени
Важно, чтобы системное время устройства было согласовано. И с точки зрения управления сетью, время должно быть синхронизировано между сетевыми устройствами по нескольким причинам:
- управление паролями, которые изменяются в определенные временные интервалы;
- обмен ключами шифрования;
- проверка достоверности сертификатов на основе срока годности и времени;
- корреляция событий безопасности на нескольких устройствах (маршрутизаторы, коммутаторы, брандмауэры, системы управления доступом к сети и так далее);
- устранение неисправностей сетевых устройств и соответствующие события для определения корневой причины события.
Вручную установленные часы любого сетевого устройства не отличаются ни точностью, ни возможностями масштабирования.
Лучшая практика — использовать протокол сетевого времени (NTP), упрощенный NTP (Simple NTP, SNTP) или протокол точного времени (Precision Time Protocol, PTP).
Что такое NTP
NTP предназначен для синхронизации времени во всей сетевой инфраструктуре, включая серверы, коммутаторы, маршрутизаторы, хост-машины, точки беспроводного доступа, устройства бесперебойного питания (UPS) и так далее.
NTP использует порт 123 UDP для источника и назначения по умолчанию.
Сеть NTP обычно получает свое исходное время от авторитетного источника времени, например, через GPS или от атомных часов, которые доступны в сети Интернет. Затем NTP распределяет время внутри локальной сети. Устройство, где настроен NTP, автоматически выбирает NTP-сервер с самым низким числом часового слоя (stratum).
Режимы NTP:
- Сервер (Server). Предоставляет точную информацию о времени клиентам в сети.
- Клиент (Client). Синхронизирует свое время с NTP-сервером. Этот режим наиболее подходит для файловых серверов, рабочих станций-клиентов и других устройств.
- Одноранговые устройства (Peers). Устройства в этом режиме только обмениваются информацией о синхронизации времени.
- Широковещательный / многоадресный режим (Broadcast / multicast). Специальный режим «push» сервера NTP, когда в локальную сеть рассылаются лавинообразно сообщения с информацией о времени.
В данной статье будут рассмотрены настройки NTP на маршрутизаторе и коммутаторе Cisco.
Топология
Исследуемая топология состоит из коммутатора Cisco 2960 с ПО Cisco IOS 15.0(2) LAN Base и маршрутизатора Cisco 2911 с ПО Cisco IOS 15.0 соответственно. Допускается использование других маршрутизаторов и версий Cisco IOS.
Схема топологии следующая:
Начальные настройки на маршрутизаторе
Начальные настройки на коммутаторах
Настройки NTP на маршрутизаторе
Настроим NTP-клиент на маршрутизаторе, введя команду несколько раз для того, чтобы подключится к нескольким серверам из пула:
Также настроим маршрутизатор в качестве NTP-сервера, указав значение часового слоя 2:
Настройки NTP на коммутаторах
Настроим NTP-клиент на коммутаторах:
Проверка настроек
Дополнительные настройки NTP на маршрутизаторе / коммутаторе Cisco
Для обеспечения безопасности при работе протокола NTP можно настроить аутентификацию и ограничение доступа с помощью списков контроля доступа.
Шаги настройки аутентификации:
Шаг 1. Определите ключ / ключи аутентификации NTP с помощью команды ntp authentication-key.
Шаг 2. Включите аутентификацию NTP, используя команду ntp authenticate.
Шаг 3. Укажите, какой ключ будет действительным для аутентификации NTP, используя команду ntp trusted-key. Единственный аргумент этой команды — это ключ, который был определен на первом шаге.
Шаг 4. Укажите NTP-сервер, который требует аутентификацию, используя команду ntp server ip-address key key-number. Также аналогично можно аутентифицировать NTP-peer, используя команду ntp peer ip-address key key-number.
Для NTP можно настроить следующие четыре ограничения с помощью списков доступа:
- Peer. Запросы на синхронизацию времени и запросы контроля разрешены. Устройству разрешено синхронизировать себя с удаленными системами, которые попадают в список доступа.
- Serve. Запросы на синхронизацию времени и запросы контроля разрешены. Устройству не разрешено синхронизировать себя с удаленными системами, которые попадают в список доступа.
- Serve-only. Позволяет только запросы синхронизации.
- Query-only. Позволяет только контрольные запросы.
Шаг настройки списков доступа для NTP:
Шаг 1. Задать список доступа с указанием интересующей сети или устройства access-list [sequence] {permit | deny } source source-wildcard
Шаг 2. Применить настроенный список доступа к NTP с помощью команды ntp access-group {peer | query-only | serve | serve-only}
Выводы
Спасибо за уделенное время на прочтение статьи. Теперь вы больше знаете о том, как настроить NTP на маршрутизаторе / коммутаторе с ПО Cisco IOS и сделать тонкие настройки протокола синхронизации времени (разные режимы, stratum, безопасность — аутентификация, списки контроля доступа)!
Если возникли вопросы, задавайте их в комментариях.
Подписывайтесь на обновления нашего блога и оставайтесь в курсе новостей мира инфокоммуникаций!
Чтобы знать больше и выделяться знаниями среди толпы IT-шников, записывайтесь на курсы Cisco, курсы по кибербезопасности, полный курс по кибербезопасности, курсы DevNet / DevOps (программируемые системы) от Академии Cisco, курсы Linux от Linux Professional Institute на платформе SEDICOMM University (Университет СЭДИКОММ).
Курсы Cisco, Linux, кибербезопасность, DevOps / DevNet, Python с трудоустройством!
- Поможем стать экспертом по сетевой инженерии, кибербезопасности, программируемым сетям и системам и получить международные сертификаты Cisco, Linux LPI, Python Institute.
- Предлагаем проверенную программу с лучшими учебниками от экспертов из Cisco Networking Academy, Linux Professional Institute и Python Institute, помощь сертифицированных инструкторов и личного куратора.
- Поможем с трудоустройством и стартом карьеры в сфере IT — 100% наших выпускников трудоустраиваются.
- Проведем вечерние онлайн-лекции на нашей платформе.
- Согласуем с вами удобное время для практик.
- Если хотите индивидуальный график — обсудим и реализуем.
- Личный куратор будет на связи, чтобы ответить на вопросы, проконсультировать и мотивировать придерживаться сроков сдачи экзаменов.
- Всем, кто боится потерять мотивацию и не закончить обучение, предложим общение с профессиональным коучем.
- отредактировать или создать с нуля резюме;
- подготовиться к техническим интервью;
- подготовиться к конкурсу на понравившуюся вакансию;
- устроиться на работу в Cisco по специальной программе. Наши студенты, которые уже работают там: жмите на #НашиВCisco Вконтакте, #НашиВCisco Facebook.
3 комментария. Оставить новый
А как удалить ntp сервер из cisco…?
Любые настройки на Cisco удаляются той же командой с ключевым словом no спереди:
no ntp master…
no ntp server…
no ntp peer…
А есть ли возможность в cisco 2811 разрешить ntp трафик, не поднимая ntp на самой cisco. Может например в acl прописать разрешение на подключение по 123 порту.