Как грамотно настроить NTP на Cisco IOS

Как грамотно настроить NTP на Cisco IOS

Рассмотрим, как настроить NTP (Network Time Protocol) на маршрутизаторе / коммутаторе Cisco, а также сделать тонкие настройки синхронизации времени. Исследуемая топология состоит из коммутатора Cisco 2960 с ПО Cisco IOS 15.0(2) LAN Base и маршрутизатора Cisco 2911 с ПО Cisco IOS 15.0 соответственно. Допускается использование других маршрутизаторов и версий Cisco IOS.

Важно, чтобы системное время устройства было согласовано, и с точки зрения управления сетью, время должно быть синхронизировано между сетевыми устройствами по нескольким причинам:

  • управление паролями, которые изменяются в определенные временные интервалы;
  • обмен ключами шифрования;
  • проверка достоверности сертификатов на основе срока годности и времени;
  • корреляция событий безопасности на нескольких устройствах (маршрутизаторы, коммутаторы, брандмауэры, системы управления доступом к сети и так далее);
  • устранение неисправностей сетевых устройств и соответствующие события для определения корневой причины события.

 

Вручную установленные часы любого сетевого устройства не отличаются ни точностью, ни возможностями  масштабирования.

Лучшая практика — использовать протокол сетевого времени (NTP), упрощенный NTP (Simple NTP, SNTP) или протокол точного времени (Precision Time Protocol, PTP).

NTP предназначен для синхронизации времени вс всей сетевой инфраструктуре, включая серверы, коммутаторы, маршрутизаторы, хост-машины, точки беспроводного доступа, устройства бесперебойное питание (UPS) и так далее.

 

NTP использует порт 123 UDP для источника и назначения по умолчанию.

 

Сеть NTP обычно получает свое исходное время от авторитетного источника времени, например, через GPS или от атомных часов, которые доступны в сети Интернет. Затем NTP распределяет время внутри локальной сети. Устройство, где настроен NTP, автоматически выбирает NTP-сервер с самым низким числом часового слоя (stratum).

Режимы NTP:

  • Сервер (Server). Предоставляет точную информацию о времени клиентам в сети.
  • Клиент (Client). Синхронизирует свое время с NTP-сервером. Этот режим наиболее подходит для файловых серверов, рабочих станций-клиентов и других устройств.
  • Одноранговые устройства (Peers). Устройства в этом режиме только обмениваются информацией о синхронизации времени.
  • Широковещательный / многоадресный режим (Broadcast / multicast). Специальный режим «push» сервера NTP, когда в локальную сеть рассылаются лавинообразно сообщения со информацией о времени.

В данной статье будут рассмотрены настройки NTP на маршрутизаторе и коммутаторе Cisco.

 

Топология

 

 

Начальные настройки на маршрутизаторе

 

 

Начальные настройки на коммутаторах

 

 

Настройки NTP на маршрутизаторе

 

Настроим NTP-клиент на маршрутизаторе, введя команду несколько раз для того, чтобы подключится к нескольким серверам из пула:

 

 

Также настроим маршрутизатор в качестве NTP-сервера, указав значение часового слоя 2:

 

Настройки NTP на коммутаторах

 

Настроим NTP-клиент на коммутаторах:

 

Проверка настроек

 

 

Дополнительные настройки NTP на маршрутизаторе / коммутаторе Cisco

 

Для обеспечения безопасности при работе протокола NTP можно настроить аутентификацию и ограничение доступа с помощью списков контроля доступа.

 

Шаги настройки аутентификации:

Шаг 1. Определите ключ / ключи аутентификации NTP с помощью команды ntp authentication-key.
Шаг 2. Включите аутентификацию NTP, используя команду ntp authenticate.
Шаг 3. Укажите какой ключ будет действительным для аутентификации NTP, используя команду ntp trusted-key. Единственный аргумент этой команды — это ключ, который был определен на первом шаге.
Шаг 4. Укажите NTP-сервер, который требует аутентификацию, используя команду ntp server ip-address key key-number. Также аналогично можно аутентифицировать NTP-peer, используя команду ntp peer ip-address key key-number.

 

Для NTP можно настроить следующие четыре ограничения с помощью списков доступа:

  • Peer. Запросы на синхронизацию времени и запросы контроля разрешены. Устройству разрешено синхронизировать себя с удаленными системами, которые попадают в список доступа.
  • Serve. Запросы на синхронизацию времени и запросы контроля разрешены. Устройству не разрешено синхронизировать себя вс удаленными системами, которые попадают в список доступа.
  • Serve-only. Позволяет только запросы синхронизации.
  • Query-only. Позволяет только контрольные запросы.

 

Шаги настройки списков доступа для NTP:

Шаг 1. Задать список доступа с указанием интересующей сети или устройства access-list [sequence] {permit | deny } source source-wildcard
Шаг 2. Применить настроенный список доступа к NTP с помощью команды ntp access-group {peer | query-only | serve | serve-only}

 

Спасибо за уделенное время на прочтение статьи о том, как настроить NTP на маршрутизаторе / коммутаторе с ПО Cisco IOS и сделать тонкие настройки протокола синхронизации времени (разные режимы, stratum, безопасность — аутентификация, списки контроля доступа)!

 

Если возникли вопросы, задавайте их в комментариях.

Подписывайтесь на обновления нашего блога и оставайтесь в курсе новостей мира инфокоммуникаций!

Чтобы знать больше и выделяться знаниями среди толпы IT-шников, записывайтесь на курсы Cisco, курсы по кибербезопасности, полный курс по кибербезопасности, курсы DevNet (программируемые сети) от Академии Cisco, курсы Linux от Linux Professional Institute на платформе SEDICOMM University (Университет СЭДИКОММ).

Курсы Cisco и Linux с трудоустройством!

Спешите подать заявку! Осталось пару мест. Группы стартуют 22 июля, а следующая 19 августа, 23 сентября, 21 октября, 25 ноября, 16 декабря, 20 января, 24 февраля.
Что Вы получите?
  • Поможем стать экспертом в сетевом администрировании и получить международные сертификаты Cisco CCNA Routing & Switching или Linux LPI.
  • Предлагаем проверенную программу и учебник экспертов из Cisco Networking Academy и Linux Professional Institute, сертифицированных инструкторов и личного куратора.
  • Поможем с трудоустройством и сделать карьеру. 100% наших выпускников трудоустраиваются.
Как проходит обучение?
  • Проводим вечерние онлайн-лекции на нашей платформе или обучайтесь очно на базе Киевского офиса.
  • Спросим у вас об удобном времени для практик и подстроимся: понимаем, что времени учиться мало.
  • Если хотите индивидуальный график — обсудим и осуществим.
  • Выставим четкие дедлайны для самоорганизации. Личный куратор будет на связи, чтобы ответить на вопросы, проконсультировать и мотивировать придерживаться сроков сдачи экзаменов.
А еще поможем Вам:
  • отредактировать резюме;
  • подготовиться к техническим интервью;
  • подготовиться к конкурсу на понравившуюся вакансию;
  • устроим на работу в Cisco по программе Cisco Incubator, New Graduate и Experienced. Наши студенты, которые уже работают там: жмите на #НашиВCisco Вконтакте, #НашиВCisco Facebook.
Чтобы учиться на курсах Cisco CCNA Routing & Switching и Linux LPI, подайте заявку или получите бесплатную консультацию.
Новости

Больше похожих постов

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Заполните поле
Заполните поле
Пожалуйста, введите корректный адрес email.
Вы должны согласиться с условиями для продолжения

Самое читаемое
Меню
Send this to a friend