Cisco Network Time Protocol (NTP)

NTP (Network Time Protocol) slouží k tomu, aby síťová zařízení synchronizovat své hodiny s centrálním zdrojem hodiny. Pro síťová zařízení, jako jsou směrovače, přepínače a firewally to je velmi důležité, protože chceme, aby se ujistil, že informace o protokolování a časová razítka mají přesný čas a datum. Pokud máte někdy problémy se sítí nebo jste hacknuti, chcete se ujistit, že přesně víte, co a kdy se to stalo.

normálně router nebo přepínač běží v režimu klienta NTP, což znamená, že upraví své hodiny na základě času serveru NTP. Protokol NTP v podstatě popisuje algoritmus, který klienti NTP používají k synchronizaci svých hodin se serverem NTP a pakety, které se mezi nimi používají.

dobrým příkladem serveru NTP je ntp.pool.org. Jedná se o shluk serverů NTP, které mnoho serverů a síťových zařízení používá k synchronizaci svých hodin.

NTP používá koncept nazvaný „stratum“, který definuje, kolik NTP chmele od zařízení je z autoritativního zdroje času. Například zařízení s vrstvou 1 je velmi přesné zařízení a může mít k němu připojené atomové hodiny. Dalším serverem NTP, který používá tento server stratum 1 k synchronizaci vlastního času, by bylo zařízení stratum 2, protože je to jeden NTP hop dále od zdroje. Při konfiguraci více serverů NTP bude klient preferovat server NTP s nejnižší hodnotou vrstvy.

Cisco routery a přepínače mohou používat 3 různé režimy NTP:

• režim klienta NTP.
• režim serveru NTP.
• NTP symetrický aktivní režim.

symetrické aktivní režim se používá mezi NTP zařízení k synchronizaci s navzájem, to je používáno jako záložní mechanismus, kdy nejsou schopni dosáhnout (externí) NTP server.

ve zbývající části této lekce ukážu, jak nakonfigurovat NTP na směrovači a přepínačích Cisco.

konfigurace

Toto je topologie, kterou použiji:

router na vrchol se nazývá „CoreRouter“ a jeho okraj sítě. Je připojen k Internetu a bude používat jeden ze serverů NTP od pool.ntp.org Chcete-li synchronizovat své hodiny. Síť má také dva interní přepínače, které vyžadují synchronizované hodiny. Oba přepínače se stanou klienty NTP Corerouteru, čímž se CoreRouter stane NTP serverem.

konfigurace routeru

nejprve nakonfigurujeme CoreRouter nahoře. Budu používat pool.ntp.org jako externí NTP server pro tento příklad. Musíme se ujistit, že router je schopen vyřešit jména hostitelů:

CoreRouter(config)#ip name-server 8.8.8.8

budu používat Google DNS pro toto. Naším dalším krokem je konfigurace NTP serveru:

CoreRouter(config)#ntp server pool.ntp.org

To bylo dost snadné, jen jeden příkaz a budeme synchronizovat své hodiny s public server. Můžeme ověřit naši práci takto:

CoreRouter#show ntp associations address ref clock st when poll reach delay offset disp ~146.185.130.223 .INIT. 16 - 64 0 0.000 0.000 16000. * sys.peer, # selected, + candidate, - outlyer, x falseticker, ~ configured

nahoře vidíme příkaz show NTP associations, který nám říká, zda jsou naše hodiny synchronizovány nebo ne. ~ Před IP adresou nám říká, že jsme tento server nakonfigurovali, ale ještě nejsme synchronizováni. Můžete to vidět, protože před IP adresou není * a pole“ st “ (stratum) je aktuálně 16.

je Tu ještě jeden příkaz, který nám dává více informací o NTP konfigurace:

CoreRouter#show ntp statusClock is unsynchronized, stratum 16, no reference clocknominal freq is 250.0000 Hz, actual freq is 250.0000 Hz, precision is 2**24reference time is 00000000.00000000 (00:00:00.000 UTC Mon Jan 1 1900)clock offset is 0.0000 msec, root delay is 0.00 msecroot dispersion is 0.16 msec, peer dispersion is 0.00 msecloopfilter state is 'FSET' (Drift set from file), drift is 0.000000000 s/ssystem poll interval is 64, never updated.

router nám říká, že jsme nesynchronizované a že neexistuje žádný referenční hodiny…musíme jen počkat pár minut a podívejte se na tyto příkazy znovu:

CoreRouter#show ntp associations address ref clock st when poll reach delay offset disp*~146.185.130.223 193.79.237.14 2 26 64 1 10.857 -5.595 7937.5 * sys.peer, # selected, + candidate, - outlyer, x falseticker, ~ configured

O pár minut později a výstup se změnil. * Před IP adresou nám říká , že jsme synchronizovali a vrstva je 2 … to znamená, že tento server NTP je velmi blízko spolehlivému zdroji času. Pole „anketa“ nám říká, že se pokusíme synchronizovat čas každých 64 sekund. Pojďme podívejte se na další příkaz, který jsme právě viděli:

CoreRouter#show ntp status Clock is synchronized, stratum 3, reference is 146.185.130.22nominal freq is 250.0000 Hz, actual freq is 250.0000 Hz, precision is 2**24reference time is D76513B4.66A4CDA6 (12:40:20.400 UTC Mon Jul 7 2014)clock offset is -5.5952 msec, root delay is 13.58 msecroot dispersion is 7966.62 msec, peer dispersion is 7937.50 msecloopfilter state is 'CTRL' (Normal Controlled Loop), drift is -0.000000018 s/ssystem poll interval is 64, last update was 43 sec ago.

Naše hodiny byly synchronizovány, a naše vlastní vrstvě je 3, to dává smysl, protože veřejný stratum serveru má stratum 2 a my jsme jeden „hop“ pryč od toho.

směrovače Cisco mají dvě různé hodiny, mají softwarové hodiny a hardwarové hodiny a pracují odděleně od sebe. Zde je návod, jak vidět obě hodiny:

CoreRouter#show clock 12:41:25.197 UTC Mon Jul 7 2014

CoreRouter#show calendar 12:43:24 UTC Mon Jul 7 2014

příkaz Zobrazit hodiny mi ukazuje softwarové hodiny, zatímco příkaz Zobrazit kalendář mi dává hardwarové hodiny. Tyto dvě hodiny nejsou synchronizovány, takže je to něco, co bychom měli opravit, můžete to udělat takto:

CoreRouter#(config)ntp update-calendar

ntp aktualizace-kalendář příkaz bude aktualizovat hardwarové hodiny s časem software hodiny, tady je výsledek:

CoreRouter#show clock 12:42:31.853 UTC Mon Jul 7 2014

CoreRouter#show calendar 12:42:30 UTC Mon Jul 7 2014

to je vše, co jsem chtěl nastavit na CoreRouter pro teď. Stále musíme nakonfigurovat dva přepínače pro synchronizaci jejich hodin.

Konfigurace přepínačů

dva přepínače bude nastaven tak, aby použít CoreRouter jako NTP server a já se také nakonfigurovat tak, aby synchronizovat své hodiny s navzájem. Pojďme je nakonfigurovat tak, aby nejprve používali CoreRouter:

SW1(config)#ntp server 192.168.123.3

opět může trvat několik minut synchronizace, ale to je to, co uvidíte:

SW1#show ntp associations address ref clock st when poll reach delay offset disp*~192.168.123.3 146.185.130.223 3 21 64 1 2.5 1.02 15875. * master (synced), # master (unsynced), + selected, - candidate, ~ configured

SW1#show ntp status Clock is synchronized, stratum 4, reference is 192.168.123.3nominal freq is 119.2092 Hz, actual freq is 119.2089 Hz, precision is 2**18reference time is D765271D.D6021302 (14:03:09.835 UTC Mon Jul 7 2014)clock offset is 1.0229 msec, root delay is 14.31 msecroot dispersion is 16036.00 msec, peer dispersion is 15875.02 msec

hodiny SW1 byly synchronizovány a jejich vrstva je 4. To dává smysl, protože je to jeden “ hop “ dále od svého serveru NTP (CoreRouter). Pojďme udělat totéž pro SW2:

SW2(config)#ntp server 192.168.123.3

buďte trpěliví na několik minut a to je to, co dostaneme:

SW2#show ntp associations address ref clock st when poll reach delay offset disp*~192.168.123.3 146.185.130.223 3 17 64 37 3.4 1.89 875.8 * master (synced), # master (unsynced), + selected, - candidate, ~ configured

SW2#show ntp status Clock is synchronized, stratum 4, reference is 192.168.123.3nominal freq is 119.2092 Hz, actual freq is 119.2084 Hz, precision is 2**18reference time is D765274D.D51A0546 (14:03:57.832 UTC Mon Jul 7 2014)clock offset is 1.8875 msec, root delay is 15.18 msecroot dispersion is 1038.39 msec, peer dispersion is 875.84 msec

SW1 a SW2 jsou nyní pomocí CoreRouter synchronizovat své hodiny. Pojďme je také nakonfigurovat tak, aby se navzájem používaly pro synchronizaci. To je symetrického aktivního režimu jsem se zmínil dříve, v podstatě dva přepínače bude „pomáhat“ navzájem synchronizovat…to by mohlo být užitečné v případě, že CoreRouter selže nějaký den:

SW1(config)#ntp peer 192.168.123.2

SW2(config)#ntp peer 192.168.123.1

Poté, co čekal několik minut, uvidíte, že SW1 a SW2 mít synchronizovány s navzájem:

SW1#show ntp associations address ref clock st when poll reach delay offset disp*~192.168.123.3 146.185.130.223 3 59 64 37 3.0 -0.74 877.4+~192.168.123.2 192.168.123.3 4 50 128 376 2.2 -2.04 1.3 * master (synced), # master (unsynced), + selected, - candidate, ~ configured

SW2#show ntp associations address ref clock st when poll reach delay offset disp*~192.168.123.3 146.185.130.223 3 45 128 377 2.9 1.95 1.0 ~192.168.123.1 192.168.123.3 4 67 1024 376 1.8 2.40 1.4 * master (synced), # master (unsynced), + selected, - candidate, ~ configured

Skvělé, všechno je teď v synchronizaci.

hostname CoreRouter!interface FastEthernet0/0 ip address 192.168.123.3 255.255.255.0!ip name-server 8.8.8.8!ntp server pool.ntp.orgntp update-calendar!end

hostname SW1!interface FastEthernet0/24 ip address 192.168.123.1 255.255.255.0!ntp server 192.168.123.3ntp peer 192.168.123.2!end

hostname SW2!interface FastEthernet0/24 ip address 192.168.123.2 255.255.255.0!ntp server 192.168.123.3ntp peer 192.168.123.1!end

skončili jsme? Ještě ne … existuje několik dalších věcí, které můžeme udělat s NTP. CoreRouter a dva přepínače používají unicast (UDP port 123) pro synchronizaci, ale můžete také použít multicast nebo broadcast. Dovolte mi, abych vám příklad…

Multicast a Broadcast

Pokud máte více než 20 zařízení sítě nebo směrovač, který má omezené systémové paměti nebo CPU zdrojů, které budete chtít zvážit použití NTP broadcast nebo multicast, jak to vyžaduje méně zdrojů. Můžeme povolit multicast nebo vysílání na rozhraní level.To ukažte to přidám dva směrovače pod SW1 a SW2, které se synchronizují pomocí multicastu nebo vysílání. Takhle to vypadá:

budu nastavit SW1 na použití multicast adresu 239.1.1.1 a SW2 zašle NTP aktualizace prostřednictvím vysílání: