NTP(网络时间协议)
某些时候,我们需要在Cisco设备上做一些基于时间的策略或访问控制,让这些策略或控制在特定的时间内生效,所以设备上必须存在着准确的时间。但是如果手工给设备配好时间,当设备因为某些原因重启后,时间将被刷新到出厂时的时间,这样就影响到我们所做的策略或服务。这时我们就需要设备能够借助于远程时间服务器上的时间来同步自己的本地时间,让设备在正常工作时,本地的时间和远程时间服务器的时间保持一致。
本地设备的时间和远程时间服务器即使能够同步,也会存在毫秒级的误差,如果自己和远程时间服务器同步,那么别人再和自己同步,就意味着别人的时间误差可能更大。在这里,时间的精准度就会有高低,Cisco设备的NTP把这样的精准度高低称为stratum,如果stratum值越大,就表示精准度越差,stratum值越小表示精准度就越好。比如远程一台时间服务器的stratum是2,本地设备和它同步后,自己的stratum就是3,精准度就差了一些,如果这时别的设备再和自己同步,那么它得到的stratum就是4,精准度就意味着更差。
Cisco设备即可以做为NTP客户端,即自己和远程时间服务器同步,也可作为NTP服务器,即向别的设备提供自己的时间,让别的设备和自己的时间同步,如果将Cisco设备作为NTP服务器,默认的stratum是8,就表示远程设备和自己同步后,stratum就是9。
配置
1.配置时间
(1)为设备配置时区:
R1(config)#clock timezone GMT
+8 配置时区为东8区时
(2)为设备配置时间:
R1#clock set 20:00:00 1 oct
2008 配置时间为2008年10月1日20点整
注:此时间为东8区时2008年10月1日20点整,如果将时区更新,设备会自行计算时差将时间调整到对应时区的时间。
2.查看结果:
(1)r1#show clock
配置NTP
(1)配置NTP服务器:
注:配置master和stratum(默认为8)
R1(config)#ntp master
5 stratum为5
(2)配置NTP数据包的源地址:
注:此地址为数据发出时的源地址,并不影响NTP时间同步
R1(config)#ntp source Loopback0
配置NTP
Client
(1)指定NTP服务器地址
R2(config)# ntp server 10.1.1.1
(2)配置clock
timezone
R2(config)# clock timezone GMT +8
(3)查看结果:
R2#show clock
说明:看本地时间和服务器的时间是否一致。
NTP认证
服务器和客户端之间可以使用MD5来提供安全认证,只有双方在密码相同的情况下,时间才能同步,双方可以同时配置多个key,号码也可以不一样,但当前使用的的key密码必须是相同的,否则时间不能同步。
配置
1.配置NTP服务器:
(1)开启认证
R1(config)# ntp authenticate
(2)配置密码
R1(config)# ntp authentication-key 5 md5
cisco
(3)使用某个密码
注:在key只有一个的情况下,可以不配
R1(config)#ntp trusted-key 5
2.配置NTP
Client;
(1)
开启认证
R2(config)# ntp authenticate
(2)配置密码
R2(config)# ntp authentication-key 20 md5 cisco
(3)使用某个密码
R2(config)#ntp trusted-key 20
(4)打开对服务器的密码使用,让发送给服务器的数据中携带密码
R2(config)#ntp server 10.1.1.1 key 20
3.查看结果
(1)未同步的:
R2#sh ntp status
Clock is unsynchronized, stratum 16, no reference clock
R2#show ntp association
detail
12.0.0.1 configured, insane, invalid, unsynced, stratum 16
(2)已同步的:
R2#sh ntp status
Clock is synchronized, stratum 6, reference is 127.127.7.1
R2#sh ntp associations detail
10.1.1.1 configured, authenticated, our_master, sane, valid,
stratum 6