带身份验证的Cisco NTP 实验详解

带身份验证的Cisco NTP

1.1.1. 所需设备

为完成本实验需要下列设备：

1) 两台Cisco路由器，各有一个串口；

2) Cisco IOS 10.0或更高；

3) 运行终端仿真程序的PC一台；

4) 两根Cisco DTE/DCE交叉电缆，如果没有可用的交叉电缆，可以将标准的Cisco DTE电缆与标准的Cisco DCE电缆相连接做成一条交叉电缆。

 

 

1.1.2. 配置概述

本实验将说明NTP的身份验证功能。Cisco NTP的应用中包括了强大的身份验证能力，确保NTP更新包是来自可靠的时钟源。

两台Cisco路由器通过串口使用交叉电缆进行连接，路由器R6作为DCE，为路由器R2提供时钟信息，IP地址的分配如图17 - 4所示，运行终端仿真程序的PC与路由器R2的控制口相连。

路由器R2被设置为NTP主时钟，路由器R6通过NTP服务器被配置成与路由器R2同步，路由器R2和R6都配置了NTP身份验证，其身份验证使用M D 5加密算法以确保NTP包在两台路由器之间传输的有效性。

注意NTP的会聚(convergence)可能需要长达半个小时，这意味着在修改NTP主系统时钟之后，再过半个小时其它的时钟才进行同步。这是因为NTP将时钟的改变视为时钟系统的不稳定。NTP需在等待系统稳定后才会进行同步和传递时钟的改变。其次，将两台路由器的身份验证键值设为相同的值，证实两台路由器是通过NTP进行时间同步的。该练习可以分两步来进行。首先，在路由器R2和R6的配置中为它们分别设定不同的身份验证键值，该命令的语法为：

ntp authentication-key number md5 value譬如，在路由器R2中输入：ntp authenti-cation-key 1 md5 cisco；在路由器R6中输入：ntp authentication-key 1 md5 bay，这种配置将使得两路由器之间的身份验证不能正常工作，实验结果将证明身份验证的失败将导致两路由器之间的NTP不能实现。身份验证键值在输入之后立即被加密，在通过show run命令来查看路由器配置时，身份验证键值的明文例如Cisco将以如下形式显示：

ntp authentication-key 1 md5 045802150C2E 7
Cisco路由器在加电启动后没有一个有效的日期和时间设置，加电后其时钟被设定为1 9 9 3年3月1日，在NTP生效之前必须为路由器设定一个有效的时钟，设定时钟的命令语法如下：

clock sethh:mm:ss day month year

 

1.1.3. 路由器配置

路由器R2

       R2#sh running-config

 

interface Loopback0

 ip address 2.2.2.2 255.255.255.0

 

!

interface Serial0/2

 ip address 26.26.26.2 255.255.255.0

 serial restart-delay 0

 

router rip

 network 2.0.0.0

 network 26.0.0.0

!

ntp authentication-key 1 md5 104D000A0618 7

ntp authenticate

ntp trusted-key 1

ntp clock-period 17179854

ntp master

!

end

2. 路由器R6

 R6#sh run

interface Serial0/2

 ip address 26.26.26.6 255.255.255.0

 serial restart-delay 0

 clock rate 64000

!

interface Serial0/3

 ip address 36.36.36.6 255.255.255.0

 serial restart-delay 0

 clock rate 64000

!

 

!

router rip

 network 26.0.0.0

 network 36.0.0.0

!

ntp authentication-key 1 md5 030752180500 7

ntp authenticate

ntp trusted-key 1

ntp clock-period 17179845

ntp server 26.26.26.2 key 1

!

end

 

1.1.4. 监测配置

本实验中两台路由器的配置情况如下：

    

R2

R6

R3

26.26.26.2/24

26.26.26.6/24

36.36.36.6/24

36.36.36.3/24

2.2.2.2/24

6.6.6.6/24

3.3.3.3/24

NTP master 1

NTP server

图17-4 NTP身份验证

在路由器R2会聚和新设定的时钟稳定之后，它将开始传播其时钟设定值。可以用show ntp status命令来监测各路由器时钟同步的情况。

在路由器R2上执行show ntp status的结果说明它处于同步状态，注意到其参考点显示为“本地”，因为该路由器被设置为主时钟。由于在路由器R2的配置中ntp master命令项没有明确指定其时钟层次号，该路由器将自身视为第8层时钟源。

R2#show ntp status

Clock is synchronized, stratum 8, reference is 127.127.7.1

nominal freq is 250.0000 Hz, actual freq is 250.0002 Hz, precision is 2**18

reference time is D1DD5892.0F557970 (16:04:34.059 UTC Fri Jul 29 2011)

clock offset is 0.0000 msec, root delay is 0.00 msec

root dispersion is 0.02 msec, peer dispersion is 0.02 mse

路由器R6的时钟也已同步，为第9层时钟源，因为它是与路由器R2同步的，而路由器R2为第8层时钟源。

R6#sh ntp status

Clock is synchronized, stratum 9, reference is 26.26.26.2

nominal freq is 250.0000 Hz, actual freq is 249.9997 Hz, precision is 2**18

reference time is D1DD58FB.9ED2D05B (16:06:19.620 UTC Fri Jul 29 2011)

clock offset is -44.4985 msec, root delay is 68.15 msec

root dispersion is 69.99 msec, peer dispersion is 25.45 msec

我们再来看一看如下所显示的show ntp associations命令，该命令说明路由器收/发NTP更新包的频率及收到最后一个更新数据包的时间。以路由器R2为例，它在27秒前收到最后一个NTP更新包。

R2#sh ntp associations

 

      address         ref clock     st  when  poll reach  delay  offset    disp

*~127.127.7.1      127.127.7.1       7     0    64  377     0.0    0.00     0.0

 * master (synced), # master (unsynced), + selected, - candidate, ~ configured

 

R6#sh ntp associations

 

      address         ref clock     st  when  poll reach  delay  offset    disp

 ~26.26.26.2       127.127.7.1       8    79   128  375    27.9   11.80    34.8

 * master (synced), # master (unsynced), + selected, - candidate, ~ configured

 

ntp association detail 命令包含了关于当前NTP状态的其它重要信息。如下面的显示中表明了向其它系统进行广播所发生的时间(黑体高亮)。

R2#sh ntp associations detail

127.127.7.1 configured, our_master, sane, valid, stratum 7

ref ID 127.127.7.1, time C029530F.58768848 (01:08:31.345 UTC Fri Mar 1 2002)

our mode active, peer mode passive, our poll intvl 64, peer poll intvl 64

root delay 0.00 msec, root disp 0.00, reach 377, sync dist 0.015

delay 0.00 msec, offset 0.0000 msec, dispersion 0.02

precision 2**18, version 3

org time C029530F.58768848 (01:08:31.345 UTC Fri Mar 1 2002)

rcv time C029530F.58768848 (01:08:31.345 UTC Fri Mar 1 2002)

xmt time C029530F.587666BA (01:08:31.345 UTC Fri Mar 1 2002)

filtdelay =     0.00    0.00    0.00    0.00    0.00    0.00    0.00    0.00

filtoffset =    0.00    0.00    0.00    0.00    0.00    0.00    0.00    0.00

filterror =     0.02    0.99    1.97    2.94    3.92    4.90    5.87    6.85

Reference clock status:  Running normally

Timecode:

转载于:https://blog.51cto.com/zyfboke/743104