时间协议NTP
NTP(网络时间协议)
Network Time Protocol(NTP)是用来使计算机时间同步化的一种协议,它可以使计算机对其服务器或时钟源(如石英钟,GPS等等)做同步化,它可以提供高精准度的时间校正(LAN上与标准间差小于1毫秒,WAN上几十毫秒),且可介由加密确认的方式来防止恶毒的协议攻击
NTP共有3种版本:NTP v1/v2/v3 默认NTPv3
NTP 两种服务模式包含 3种工作模式:
一. 基于轮询的配置
1. server/client 模式 :
服务器和客户模式中,客户端会轮询配置中的所有NTP服务器,然后从中选中一个优先级最高的服务器来同步时钟。
为了避免轮询机制的定期轮询造成的路由器效率下降,所以引用层次的概念来减小定期轮询的范围,共15个层次,Cisco不支持第一层时钟服务。底层的会向高层的同步时间,并且在服务器和客户模式中,底层的路由器只能向高于自己一层的时间源同步数据。
2. Symmetric Active/Passive 对称模式 :
对称模式中路由器轮询已配置的时间服务器以获得当前时间,同时发送时间到时间服务器,该模式通常用于同一层次的NTP服务器组的自身。
二.基于广播的配置
Broadcast 广播模式:
在广播客户端模式,客户端主动接听来自NTP服务器广播。所以很明显,要使这种模式工作,客户端和服务器端必须在同一子网。一般用于大型2层网络中特别是带宽、内存、CPU等资源受限制的网络。
轮询机制的NTP
ntp server ip_address [version number] [key keyid] [source interface] [prefer]
ntp peer ip_address [version number] [key keyid] [source interface] [prefer]
Version : NTP 版本号 1 / 2 / 3 默认 3 NTP v3 使用UDP 123
Source interface : 指定NTP 同步时钟的源地址 如不指定源将以来自源的物理口地址
Perfer : 如果对等服务器之间存在竞争,那么关键字Prefer将强迫本地路由器提供时间同步
如果路由器将和另一个NTP时钟源同步,则建立一个服务器连接 如果路由器不但与另一个设备同步,并且允许其他设备和此路由器同步,应配置对等体
对路由器NTP服务的访问控制: ntp access-group {query-only | serve-only | serve | peer} access-list-number
serve-only:只允许时间请求 允许访问控制列表上的ip地址请求时间。路由器不向远程系统同步时间
serve:允许请求和查询但是不和远程对等服务器保持同步 允许时间请求和控制查询,路由器不向远程系统同步时间
query-only:只允许查询控制 允许发出NTP控制查询。控制查询用在监视NTP进程的SNMP管理站
peer: 允许时间请求和控制查询,并允许路由器从远程系统同步时间
NTP安全机制:
1.使用访问控制列表来限制对路由器的NTP资源的访问。
2.使用带有MD5的散列函数的认证来限制相互信任的设备间的通信。
NTP的认证:
NTP支持认证,用于验证从其他NTP设备接收到的NTP消息。MD5用于生成加密校验和(使用两侧均知道的密钥),被附加在NTP消息中。
Router(config)# ntp authenticate
启动NTP认证
Router(config)# ntp authentication-key number md5 value
定义密钥的引用号码和认证密文(必须在远程NTP设备上配置同样的加密密文)
可以定义多个KEY,并且每一个KEY均会有一个编号、认证类型、密文。正常情况下认证类型永远是MD5
Router(config)# ntp trusted-key key-number
定义认证是信任那个key。
配置实例:
Make sure that the clock of R2 gets synchronized to the clock of R1,meeting the requirements:R2 has a stratum of 1.Synchronization is done as long as there is an active path between the routers.Use the Loopback 0 as the source interface.Updates are authenticated.
R1:
ntp master 2
ntp source loopback 0
ntp authenticate
ntp authentication-key 1 md5 cisco
ntp trusted-key 1
R2:
ntp server YY.YY.1.1 key 1 source loopback 0
ntp authenticate
ntp authentication-key 1 md5 cisco
ntp trusted-key 1
Show ntp Status
Network Time Protocol(NTP)是用来使计算机时间同步化的一种协议,它可以使计算机对其服务器或时钟源(如石英钟,GPS等等)做同步化,它可以提供高精准度的时间校正(LAN上与标准间差小于1毫秒,WAN上几十毫秒),且可介由加密确认的方式来防止恶毒的协议攻击
NTP共有3种版本:NTP v1/v2/v3 默认NTPv3
NTP 两种服务模式包含 3种工作模式:
一. 基于轮询的配置
1. server/client 模式 :
服务器和客户模式中,客户端会轮询配置中的所有NTP服务器,然后从中选中一个优先级最高的服务器来同步时钟。
为了避免轮询机制的定期轮询造成的路由器效率下降,所以引用层次的概念来减小定期轮询的范围,共15个层次,Cisco不支持第一层时钟服务。底层的会向高层的同步时间,并且在服务器和客户模式中,底层的路由器只能向高于自己一层的时间源同步数据。
2. Symmetric Active/Passive 对称模式 :
对称模式中路由器轮询已配置的时间服务器以获得当前时间,同时发送时间到时间服务器,该模式通常用于同一层次的NTP服务器组的自身。
二.基于广播的配置
Broadcast 广播模式:
在广播客户端模式,客户端主动接听来自NTP服务器广播。所以很明显,要使这种模式工作,客户端和服务器端必须在同一子网。一般用于大型2层网络中特别是带宽、内存、CPU等资源受限制的网络。
轮询机制的NTP
ntp server ip_address [version number] [key keyid] [source interface] [prefer]
ntp peer ip_address [version number] [key keyid] [source interface] [prefer]
Version : NTP 版本号 1 / 2 / 3 默认 3 NTP v3 使用UDP 123
Source interface : 指定NTP 同步时钟的源地址 如不指定源将以来自源的物理口地址
Perfer : 如果对等服务器之间存在竞争,那么关键字Prefer将强迫本地路由器提供时间同步
如果路由器将和另一个NTP时钟源同步,则建立一个服务器连接 如果路由器不但与另一个设备同步,并且允许其他设备和此路由器同步,应配置对等体
对路由器NTP服务的访问控制: ntp access-group {query-only | serve-only | serve | peer} access-list-number
serve-only:只允许时间请求 允许访问控制列表上的ip地址请求时间。路由器不向远程系统同步时间
serve:允许请求和查询但是不和远程对等服务器保持同步 允许时间请求和控制查询,路由器不向远程系统同步时间
query-only:只允许查询控制 允许发出NTP控制查询。控制查询用在监视NTP进程的SNMP管理站
peer: 允许时间请求和控制查询,并允许路由器从远程系统同步时间
NTP安全机制:
1.使用访问控制列表来限制对路由器的NTP资源的访问。
2.使用带有MD5的散列函数的认证来限制相互信任的设备间的通信。
NTP的认证:
NTP支持认证,用于验证从其他NTP设备接收到的NTP消息。MD5用于生成加密校验和(使用两侧均知道的密钥),被附加在NTP消息中。
Router(config)# ntp authenticate
启动NTP认证
Router(config)# ntp authentication-key number md5 value
定义密钥的引用号码和认证密文(必须在远程NTP设备上配置同样的加密密文)
可以定义多个KEY,并且每一个KEY均会有一个编号、认证类型、密文。正常情况下认证类型永远是MD5
Router(config)# ntp trusted-key key-number
定义认证是信任那个key。
配置实例:
Make sure that the clock of R2 gets synchronized to the clock of R1,meeting the requirements:R2 has a stratum of 1.Synchronization is done as long as there is an active path between the routers.Use the Loopback 0 as the source interface.Updates are authenticated.
R1:
ntp master 2
ntp source loopback 0
ntp authenticate
ntp authentication-key 1 md5 cisco
ntp trusted-key 1
R2:
ntp server YY.YY.1.1 key 1 source loopback 0
ntp authenticate
ntp authentication-key 1 md5 cisco
ntp trusted-key 1
Show ntp Status