Cisco Network Time Protocol(NTP)

Posted on by admin

レッスン内容

NTP(Network Time Protocol)は、ネットワークデバイスが中央のソースクロックとクロックを同期させるために使用されます。 ルーター、スイッチ、ファイアウォールなどのネットワークデバイスでは、ログ情報とタイムスタンプに正確な時刻と日付があることを確認するため、これは非常に重要です。 ネットワークの問題が発生したり、ハッキングされたりした場合は、いつ何が起こったのかを正確に知っていることを確認したいと考えています。

通常、ルータまたはスイッチはNTPクライアントモードで実行されます。 基本的にNTPプロトコルは、NTPクライアントがNTPサーバーとクロックを同期させるために使用するアルゴリズムと、それらの間で使用されるパケットを

NTPサーバーの良い例は次のとおりですntp.pool.orgこれは、多くのサーバーとネットワークデバイスが時計を同期するために使用するNTPサーバーのクラスターです。

NTPは、”stratum”と呼ばれる概念を使用して、デバイスがauthorative time sourceからどのくらいのNTPホップ離れているかを定義します。 たとえば、stratum1を持つデバイスは非常に正確なデバイスであり、原子時計が接続されている可能性があります。 このstratum1サーバーを使用して独自の時刻を同期している別のNTPサーバーは、ソースから1つ離れたNTPホップであるため、stratum2デバイスになります。 複数のNTPサーバを設定すると、クライアントは階層値が最も低いNTPサーバを優先します。

Ciscoルータおよびスイッチは3つの異なるNTPモードを使用できます:

  • NTPクライアントモード。
  • NTPサーバモード。

対称アクティブモードは、NTPデバイス間で相互に同期するために使用され、(外部)NTPサーバーに到達できないときのバックアップメカニズムとして使用され

このレッスンの残りの部分では、私はCiscoルータおよびスイッチのNTPを設定する方法を示します。

設定

これは私が使用するトポロジです:

cisco ntp example topology

上のルータは”CoreRouter”と呼ばれ、私のネットワークの端です。 これは、インターネットに接続されており、からNTPサーバーのいずれかを使用しますpool.ntp.org その時計を同期させる。 このネットワークには、同期クロックを必要とする2つの内部スイッチもあります。 両方のスイッチはCoreRouterのNTPクライアントになり、CoreRouterをNTPサーバーにします。

ルータの設定

まず、CoreRouterを上に設定します。 私は使用しますpool.ntp.org この例では、外部NTPサーバとして使用します。 ルータがホスト名を解決できることを確認する必要があります:

CoreRouter(config)#ip name-server 8.8.8.8

これにはGoogle DNSを使用します。 次のステップは、NTPサーバーを設定することです:

CoreRouter(config)#ntp server pool.ntp.org

それは十分に簡単だった、ただ一つのコマンドと私たちは、公共のサーバーと私たちの時計を同期させます。 私たちはこのように私たちの仕事を確認することができます:

CoreRouter#show ntp associations address ref clock st when poll reach delay offset disp ~146.185.130.223 .INIT. 16 - 64 0 0.000 0.000 16000. * sys.peer, # selected, + candidate, - outlyer, x falseticker, ~ configured

上記では、時計が同期されているかどうかを示すshow ntp associationsコマンドが表示されます。 IPアドレスの前にある~は、このサーバーを構成しましたが、まだ同期されていないことを示しています。 IPアドレスの前に*がなく、「st」フィールド(階層)が現在16であるため、これを確認できます。

NTP設定に関する詳細情報を提供するもう1つのコマンドがあります:

CoreRouter#show ntp statusClock is unsynchronized, stratum 16, no reference clocknominal freq is 250.0000 Hz, actual freq is 250.0000 Hz, precision is 2**24reference time is 00000000.00000000 (00:00:00.000 UTC Mon Jan 1 1900)clock offset is 0.0000 msec, root delay is 0.00 msecroot dispersion is 0.16 msec, peer dispersion is 0.00 msecloopfilter state is 'FSET' (Drift set from file), drift is 0.000000000 s/ssystem poll interval is 64, never updated.

ルータは、我々は非同期であり、何の基準クロックがないことを私たちに伝えます…我々はちょうど数分待って、再びこれらのコマンドを見てみましょう:

CoreRouter#show ntp associations address ref clock st when poll reach delay offset disp*~146.185.130.223 193.79.237.14 2 26 64 1 10.857 -5.595 7937.5 * sys.peer, # selected, + candidate, - outlyer, x falseticker, ~ configured

数分後、出力が変更されました。 IPアドレスの前の*は、同期しており、層が2であることを示しています…これは、このNTPサーバーが信頼できる時刻源にかなり近いことを意味します。 “Poll”フィールドは、64秒ごとに時間を同期しようとすることを示しています。 私たちが見た他のコマンドをチェックしてみましょう:

CoreRouter#show ntp status Clock is synchronized, stratum 3, reference is 146.185.130.22nominal freq is 250.0000 Hz, actual freq is 250.0000 Hz, precision is 2**24reference time is D76513B4.66A4CDA6 (12:40:20.400 UTC Mon Jul 7 2014)clock offset is -5.5952 msec, root delay is 13.58 msecroot dispersion is 7966.62 msec, peer dispersion is 7937.50 msecloopfilter state is 'CTRL' (Normal Controlled Loop), drift is -0.000000018 s/ssystem poll interval is 64, last update was 43 sec ago.

私たちの時計は同期されており、私たち自身の地層は3です。

NTPの同期は非常に遅くなる可能性があるため、時計が同期されていないときは忍耐強くなければなりません。 それを少しスピードアップする1つの方法は、現在の時刻に近いように手動で時計を調整することです。

Ciscoルータには二つの異なるクロックがあり、ソフトウェアクロックとハードウェアクロックがあり、互いに別々に動作します。 両方の時計を見る方法は次のとおりです:

CoreRouter#show clock 12:41:25.197 UTC Mon Jul 7 2014
CoreRouter#show calendar 12:43:24 UTC Mon Jul 7 2014

show clockコマンドはソフトウェアの時計を表示し、show calendarコマンドはハードウェアの時計を表示します。 二つのクロックが同期していないので、これは我々が修正すべきものです、あなたはこのようにそれを行うことがで:

CoreRouter#(config)ntp update-calendar

ntp update-calendarコマンドは、ハードウェアクロックをソフトウェアクロックの時刻で更新します。:

CoreRouter#show clock 12:42:31.853 UTC Mon Jul 7 2014
CoreRouter#show calendar 12:42:30 UTC Mon Jul 7 2014

今のところ、CoreRouterで設定したかったのはそれだけです。 クロックを同期させるためには、2つのスイッチを設定する必要があります。

スイッチ構成

二つのスイッチは、CoreRouterをNTPサーバーとして使用するように構成され、私はまた、お互いにクロックを同期させるように構成されます。 最初にCoreRouterを使用するように設定しましょう:

SW1(config)#ntp server 192.168.123.3

もう一度同期するのに数分かかるかもしれませんが、これが表示されます:

SW1#show ntp associations address ref clock st when poll reach delay offset disp*~192.168.123.3 146.185.130.223 3 21 64 1 2.5 1.02 15875. * master (synced), # master (unsynced), + selected, - candidate, ~ configured
SW1#show ntp status Clock is synchronized, stratum 4, reference is 192.168.123.3nominal freq is 119.2092 Hz, actual freq is 119.2089 Hz, precision is 2**18reference time is D765271D.D6021302 (14:03:09.835 UTC Mon Jul 7 2014)clock offset is 1.0229 msec, root delay is 14.31 msecroot dispersion is 16036.00 msec, peer dispersion is 15875.02 msec

SW1のクロックは同期されており、その層は4です。 これは、NTPサーバー(CoreRouter)からさらに1つの「ホップ」であるため、理にかなっています。 SW2でも同じことをしましょう:

SW2(config)#ntp server 192.168.123.3

のは、いくつかのより多くの分のために我慢してみましょう、これは我々が得るものです:

SW2#show ntp associations address ref clock st when poll reach delay offset disp*~192.168.123.3 146.185.130.223 3 17 64 37 3.4 1.89 875.8 * master (synced), # master (unsynced), + selected, - candidate, ~ configured
SW2#show ntp status Clock is synchronized, stratum 4, reference is 192.168.123.3nominal freq is 119.2092 Hz, actual freq is 119.2084 Hz, precision is 2**18reference time is D765274D.D51A0546 (14:03:57.832 UTC Mon Jul 7 2014)clock offset is 1.8875 msec, root delay is 15.18 msecroot dispersion is 1038.39 msec, peer dispersion is 875.84 msec

SW1とSW2は現在、CoreRouterを使用してクロックを同期させています。 また、同期のためにお互いを使用するように設定してみましょう。 これは私が前に述べた対称アクティブモードです、基本的に2つのスイッチはお互いに同期するのを助けます…これはCoreRouterがいつか失敗した場合に役立:

SW1(config)#ntp peer 192.168.123.2
SW2(config)#ntp peer 192.168.123.1

数分待った後、SW1とSW2が互いに同期していることがわかります:

SW1#show ntp associations address ref clock st when poll reach delay offset disp*~192.168.123.3 146.185.130.223 3 59 64 37 3.0 -0.74 877.4+~192.168.123.2 192.168.123.3 4 50 128 376 2.2 -2.04 1.3 * master (synced), # master (unsynced), + selected, - candidate, ~ configured
SW2#show ntp associations address ref clock st when poll reach delay offset disp*~192.168.123.3 146.185.130.223 3 45 128 377 2.9 1.95 1.0 ~192.168.123.1 192.168.123.3 4 67 1024 376 1.8 2.40 1.4 * master (synced), # master (unsynced), + selected, - candidate, ~ configured

素晴らしいすべてが同期して今です。

ここでは、各デバイスの最終的な構成を見つけることができます。

hostname CoreRouter!interface FastEthernet0/0 ip address 192.168.123.3 255.255.255.0!ip name-server 8.8.8.8!ntp server pool.ntp.orgntp update-calendar!end

SW1

hostname SW1!interface FastEthernet0/24 ip address 192.168.123.1 255.255.255.0!ntp server 192.168.123.3ntp peer 192.168.123.2!end

SW2

hostname SW2!interface FastEthernet0/24 ip address 192.168.123.2 255.255.255.0!ntp server 192.168.123.3ntp peer 192.168.123.1!end

終わったのか? まだですが…NTPでできることはいくつかあります。 CoreRouterと2つのスイッチは、同期にユニキャスト(UDPポート123)を使用しますが、マルチキャストまたはブロードキャストを使用することもできます。 例を挙げてみましょう…

マルチキャストとブロードキャスト

システムメモリやCPUリソースが限られているネットワークデバイスやルータが20を超える場合は、NTPブロードキャストまたはマルチキャストを使用することを検討することをお勧めします。 インターフェイス上でマルチキャストまたはブロードキャストを有効にすることができますlevel.To これを実証する私は、マルチキャストまたはブロードキャストを使用して自分自身を同期するSW1とSW2の下に二つのルータを追加します。 これはそれがどのように見えるかです:

cisco ntp broadcast multicastトポロジの例

マルチキャストアドレス239.1.1.1を使用するようにSW1を設定し、SW2はブロードキャストを介してNTPの更新を送信します。

コメントを残す

メールアドレスが公開されることはありません。