NTP验证

NTP协议是让网络上的不同设备用来同步时间的协议，NTP工作在UDP，并且协议数据包的源端口和目标端口都是123。 Cisco的NTP支持验证功能，确保NTP更新报文是来自可靠的时钟源。其身份验证使用MD5加密算 法以确保NTP在2台路 由器之间传输的有效性。

注意：这个认 证是对时钟源进行认 证，是要求时钟源的密码和客户端的一致，如果只在时钟源设置了密码，而客户端没有这个认 证的需求配置，则密码不会起作用。

(1)配置时钟源R1，所使用的认证密码

R1(config)#ntp authenticate   //这条命令的作用是认证时钟源，配置于客户端，因此在这里可不配置。

R1(config)#ntp authentication-key 1 md5 cisco   //服务器上只用配这一条命令

(2)改变R1时钟

R1#clock set 14:00:00 mar 2009

(3)重新配置R2的ntp server， 加速同步过程

R2(config)#no ntp server 1.1.1.1

R2(config)#ntp server 1.1.1.1

(4)查看R2的时钟状态

R2#show ntp status

Clock is synchronized, stratum 2, reference is 1.1.1.1

nominal freq is 250.0000 Hz, actual freq is 249.9999 Hz, precision is 2**18

reference time is CDB63D73.D537848A (14:49:23.832 BJ Thu May 14 2009)

clock offset is -10.6914 msec, root delay is 55.80 msec

root dispersion is 27.28 msec, peer dispersion is 15.56 msec

可见仍然同步了，即时钟源设置了密码.但是这个认证要求是由客户 端主动发起的。在客户端R2没有配置的前提下， 时钟源R1的认证密码不会起作用。

(5)配置R2，要求认证时钟源

R2(config)#ntp authenticate   //要求认证时钟源

R2(config)#ntp authentication-key 1 md5 cisco   //设置密码

R2(config)#ntp trusted-key 1   //选择认证的密码

R2(config)#ntp server 1.1.1.1 key 1   //应用到对应的时钟源

(6)修改R1的clock以触发时钟同步，以便进 一步验证同步是否正确

R1#clock set 1:1:1 1 jul 2006

(7)等待一段时间，如要立即同步则重配R2的ntp server。

R2#show ntp ass de

R2#sh ntp associations de
1.1.1.1 configured, authenticated, our_master, sane, valid, stratum 8
ref ID 127.127.7.1, time CDB63EC5.3C5ACB67 (14:55:01.235 BJ Thu May 14 2009)
our mode client, peer mode server, our poll intvl 128, peer poll intvl 128
root delay 0.00 msec, root disp 0.03, reach 377, sync dist 35.736
delay 55.82 msec, offset 8.1164 msec, dispersion 7.80
precision 2**18, version 3
org time CDB63ED4.CABEC7AF (14:55:16.791 BJ Thu May 14 2009)
rcv time CDB63ED4.CFD05CB7 (14:55:16.811 BJ Thu May 14 2009)
xmt time CDB63ED4.C17C945D (14:55:16.755 BJ Thu May 14 2009)
filtdelay =    55.82   79.83 111.85   67.83   51.80   79.83   55.80   63.83
filtoffset =    8.12    1.24   -5.92   13.15   10.81   19.04 -10.69   23.12
filterror =     0.02    1.97    2.94    3.45    4.43    5.40    6.38    7.35

R2已 经同步,并且是已认证的

(8)验证认证是否起了作用，修改R2的密码，并且重配ntp server，然后在R2上查看相关信息

R2#sh ntp ass de
1.1.1.1 configured, insane, invalid, unsynced, stratum 16
ref ID 0.0.0.0, time 00000000.00000000 (08:00:00.000 BJ Mon Jan 1 1900)
our mode client, peer mode unspec, our poll intvl 64, peer poll intvl 64
root delay 0.00 msec, root disp 0.00, reach 0, sync dist 0.000
delay 0.00 msec, offset 0.0000 msec, dispersion 16000.00
precision 2**5, version 3
org time CDB63F61.CED68DAD (14:57:37.807 BJ Thu May 14 2009)
rcv time CDB63F61.D213F096 (14:57:37.820 BJ Thu May 14 2009)
xmt time CDB63F61.C1B431DE (14:57:37.756 BJ Thu May 14 2009)
filtdelay =     0.00    0.00    0.00    0.00    0.00    0.00    0.00    0.00
filtoffset =    0.00    0.00    0.00    0.00    0.00    0.00    0.00    0.00
filterror = 16000.0 16000.0 16000.0 16000.0 16000.0 16000.0 16000.0 16000.0

 

这时时钟源的密码和R2的不同，没有通过认证，因此同步也不会完成。

转载于:https://blog.51cto.com/cisco130/965694