NTP network time protocol网络时间协议
是用来使计算机时间同步化的一种协议,可以使计算机对其服务器或时钟源做同步化,它可以提供高准精度的时间校正(LAN上与其标准间差小于1毫秒,WAN上几十毫秒)
某些时候,我们需要在Cisco设备上做一些基于时间的策略或访问控制,让这些策略或控制在特定的时间内生效,所以设备上必须存在着准确的时间。
但是如果手工给设备配好时间,当设备因为某些原因重启后,时间将被刷新到出厂时的时间,这样就影响到我们所做的策略或服务。
这时我们就需要设备能够借助于远程时间服务器上的时间来同步自己的本地时间,让设备在正常工作时,本地的时间和远程时间服务器的时间保持一致。
本地设备的时间和远程时间服务器即使能够同步,也会存在毫秒级的误差,如果自己和远程时间服务器同步,那么别人再和自己同步,就意味着别人的时间误差可能更大。
在这里,时间的精准度就会有高低,Cisco设备的NTP把这样的精准度高低称为stratum,如果stratum值越大,就表示精准度越差,stratum值越小表示精准度就越好。
Cisco设备即可以做为NTP客户端,即自己和远程时间服务器同步,也可作为NTP服务器,即向别的设备提供自己的时间,让别的设备和自己的时间同步,如果将Cisco设备作为NTP服务器,默认的stratum是8,就表示远程设备和自己同步后,stratum就是9。
配置时间
(1)为设备配置时区:
R1(config)#clock timezone GMT +8 配置时区为东8区时
(2)为设备配置时间:
R1#clock set 20:00:00 1 oct 2008
配置时间为2008年10月1日20点整
(3)R1#show clock
配置NTP server
(1)配置NTP服务器:
注:配置master和stratum(默认为8)
R1(config)#ntp master 5 stratum为5
(2)配置NTP数据包的源地址:
注:此地址为数据发出时的源地址,并不影响NTP时间同步
R1(config)#ntp source Loopback0
配置STP client
(1)指定NTP服务器地址
R2(config)# ntp server 10.1.1.1
(2)配置clock timezone
R2(config)# clock timezone GMT +8
(3)R2#show clock
NTP认证
服务器和客户端之间可以使用MD5来提供安全认证,只有双方在密码相同的情况下,时间才能同步。
配置NTP server认证
(1)开启认证
R1(config)# ntp authenticate
(2)配置密码
R1(config)# ntp authentication-key 5 md5 cisco
(3)使用某个密码
R1(config)#ntp trusted-key 5
注:在key只有一个的情况下,可以不配
配置client认证
(1)开启认证
R2(config)# ntp authenticate
(2)配置密码
R2(config)# ntp authentication-key 20 md5 cisco
(3)使用某个密码
R2(config)#ntp trusted-key 20
(4)打开对服务器的密码使用,让发送给服务器的数据中携带密码
R2(config)#ntp server 10.1.1.1 key 20
案例配置拓扑
案例配置需求
1、 互联IP为/24,Loopback 0的IP为X.X.X.X,其中X为本设备ID,Y为对端设备ID;
2、 R1、R2、R3之间使用OSPF作为IGP路由;
3、 设置R1为NTP服务器,时间准确等级为2级,NTP更新源为Loopback 0;
4、 设置R3为NTP服务器,时间准确等级为8级,NTP更新源为Loopback 0;
5、 设置R2的NTP服务器为R1,并设置R2的NTP peer为R3作为备份NTP服务器;
6、 通过配置,使得R2向R1进行NTP同步时要求服务器进行认证,密码为cisco;
案例配置思路
1、 在3台路由器上配置IP:
2、 在3台路由器上运行OSPF;
3、 在R1上配置NTP服务器:
ntp source Loopback0 /设置NTP更新源为loopback 0/
ntp master 2 /设置本设备为NTP服务器,准确等级为2/
4、 在R3上配置NTP服务器:
ntp source Loopback0 /设置NTP更新源为loopback 0/
ntp master /设置本设备为NTP服务器,默认准确等级为8/
5、 在R2上配置NTP:
ntp server 1.1.1.1 /指定NTP server为1.1.1.1/
ntp peer 3.3.3.3 /指定NTP peer 为3.3.3.3/
6、 在R2(客户端)上配置NTP 认证:
ntp authentication-key 1 md5 cisco /创建NTP密钥1/
ntp trusted-key 1 /设置NTP客户端信任的密钥/
ntp server 1.1.1.1 key 1 /设置NTP客户端发送的密钥/
ntp authenticate /开启NTP认证/
7、 在R1(服务端)上配置NTP 认证:
ntp authentication-key 1 md5 cisco
ntp authenticate
案例检验结果
1、 配置完成后,在R2上查看NTP的状态:
R2#show ntp status
Clock is synchronized, stratum 3, reference is 1.1.1.1
nominal freq is 250.0000 Hz, actual freq is 249.9999 Hz, precision is 2**18
reference time is D34A4DDB.25D40F1E (11:56:11.147 UTC Tue May 1 2012)
clock offset is -9.7613 msec, root delay is 11.66 msec
root dispersion is 18.63 msec, peer dispersion is 8.83 msec
R2#
2、 配置完成后,在R2上查看NTP的联系表:
R2#show ntp associations
address ref clock st when poll reach delay offset disp
~3.3.3.3 127.127.7.1 8 23 64 2 20.3 402546 15875.
*~1.1.1.1 127.127.7.1 2 22 64 377 11.7 -9.76 6.0
* master (synced), # master (unsynced), + selected, - candidate, ~ configured
R2#
3、 当R1出现故障时,在R2上查看NTP状态和NTP联系表:
R2#show ntp status
Clock is synchronized, stratum 9, reference is 3.3.3.3
nominal freq is 250.0000 Hz, actual freq is 250.0001 Hz, precision is 2**18
reference time is D34AEE7C.D8DF775C (23:21:32.847 UTC Tue May 1 2012)
clock offset is 2.0047 msec, root delay is 24.11 msec
root dispersion is 7880.60 msec, peer dispersion is 7878.57 msec
R2#show ntp ass
address ref clock st when poll reach delay offset disp
*~3.3.3.3 127.127.7.1 8 0 64 7 24.1 2.00 3887.5
~1.1.1.1 0.0.0.0 16 - 64 0 0.0 0.00 16000.
* master (synced), # master (unsynced), + selected, - candidate, ~ configured
案例总结及其它
1、 NTP服务为设备提供时间同步功能;
2、 在设置设备成为服务器时,可以选择时间准确等级(默认为8),等级越小代表越精确;
3、 配置NTP客户端时,可以设置该客户端的服务器或NTP peer为某个IP,这样客户端就能从服务器学习NTP;
4、 当设置NTP peer时,若在对端也做同样的设置,则两台设备互相同步,谁的时间等级更精确,就同步谁的;
5、 NTP客户端进行时间同步的时候可以要求服务端进行认证(只支持MD5),认证由客户端发起,客户端要设置信任的密钥以及发送的密钥;
6、 本地认证要区分用户名和密码的大小写时,要在参数中使用local-case;