CISCO IOS COOKBOOK中文精簡版第十四章NTP和時鐘
14.1. 路由器日誌顯示時間戳
14.1. 路由器日誌顯示時間戳
提問 在路由器 的日誌和排錯信息裏面顯示時間
回答
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#service timestamps log datetime localtime
Router(config)#service timestamps debug datetime localtime
Router(config)#end
Router#
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#service timestamps log datetime localtime
Router(config)#service timestamps debug datetime localtime
Router(config)#end
Router#
註釋 還可以在命令後面加上show-timezone, msec等參數讓時間戳包含時區信息和毫秒級
14.2. 設置時間
提問 設置路由器時間
回答
內部時鐘
Router#clock set 14:27:22 January 29 2006
Router#
Router#
高端路由器使用電池保存時間
Router#calendar set 14:34:39 January 29 2006
Router#
Router#
註釋 如果沒有電池保護路由器重啓時間配置消失,show calendar一方面可以顯示目前時鐘,也可以用來驗證是否有電池保護,內部時鐘
和calendar時鐘不一致時可以使用clock update-calendar或者clock read-calendar來互相同步
14.3. 設置時區
提問 設置路由器時區
回答
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#clock timezone EST 5 'clock timezone GMT 8 北京時間
Router(config)#end
Router#
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#clock timezone EST 5 'clock timezone GMT 8 北京時間
Router(config)#end
Router#
註釋 缺省路由器使用UTC就是以前的GMT
14.4. 夏時制調整
提問 路由器自動對時鐘進行夏時制調整
回答
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#clock summer-time EDT date 26 oct 2003 02:00 6 apr 2003 02:00
或者
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#clock summer-time EDT date 26 oct 2003 02:00 6 apr 2003 02:00
或者
Router(config)#clock summer-time AEDT recurring last sun oct 02:00 last sun mar 02:00
Router(config)#end
Router#
Router(config)#end
Router#
註釋 缺省是沒有夏時制的,啓用後可以使用show clock detail來驗證
14.5. 時鐘同步(NTP)
提問 路由器自動同步網絡時間
回答
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#clock timezone EST -5
Router(config)#clock summer-time EDT recurring
Router(config)#ntp server 172.25.1.1
Router(config)#end
Router#
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#clock timezone EST -5
Router(config)#clock summer-time EDT recurring
Router(config)#ntp server 172.25.1.1
Router(config)#end
Router#
對於不支持NTP的路由器,使用SNTP
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#clock timezone EST -5
Router(config)#clock summer-time EDT recurring
Router(config)#sntp server 172.25.1.1
Router(config)#end
Router#
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#clock timezone EST -5
Router(config)#clock summer-time EDT recurring
Router(config)#sntp server 172.25.1.1
Router(config)#end
Router#
註釋 可以使用ntp source loopback0 或者ntp server 10.1.1.1 source Serial 0/0 命令來指定NTP發送的源地址。由於NTP同步的是內
部時鐘,所以需要配置ntp update-calendar 來同時同步其calendar時鐘
14.6. 配置NTP 冗餘
提問 配置多個NTP服務器的方式來提供冗餘
回答
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#clock timezone EST -5
Router(config)#clock summer-time EDT recurring
Router(config)#ntp server 172.25.1.1
Router(config)#ntp server 10.121.33.231
Router(config)#ntp peer 192.168.12.12
Router(config)#end
Router#
註釋 無
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#clock timezone EST -5
Router(config)#clock summer-time EDT recurring
Router(config)#ntp server 172.25.1.1
Router(config)#ntp server 10.121.33.231
Router(config)#ntp peer 192.168.12.12
Router(config)#end
Router#
註釋 無
14.7. 設置路由器爲網絡NTP服務器
提問設置路由器爲網絡NTP服務器,成爲網絡的主時鐘源
回答
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#clock timezone EST 5
Router(config)#clock summer-time EDT recurring
Router(config)#clock calendar-valid
Router(config)#ntp master 8
Router(config)#end
Router#
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#clock timezone EST 5
Router(config)#clock summer-time EDT recurring
Router(config)#clock calendar-valid
Router(config)#ntp master 8
Router(config)#end
Router#
註釋 這裏設置ntp master 8使其成爲Stratum level 8,儘量不要配置其爲1
14.8. 調整NTP同步週期
提問 調整多久路由器發送NTP數據包來驗證同步
回答
NTP不允許手動修改同步頻率,但是內置的算法可以自動調整此頻率
註釋 開始爲64秒一個週期,如果網絡足夠穩定此週期會逐漸增加,最長到1024秒,如下例
Router>show ntp associations
address ref clock st when poll reach delay offset disp
*~172.25.1.1 130.207.244.240 2 440 1024 377 1.6 -3.23 5.6
+~172.25.1.3 204.152.184.72 2 829 1024 377 1.7 8.06 0.9
* master (synced), # master (unsynced), + selected, - candidate, ~ configured
Router>
address ref clock st when poll reach delay offset disp
*~172.25.1.1 130.207.244.240 2 440 1024 377 1.6 -3.23 5.6
+~172.25.1.3 204.152.184.72 2 829 1024 377 1.7 8.06 0.9
* master (synced), # master (unsynced), + selected, - candidate, ~ configured
Router>
14.9. NTP 發送週期性廣播包保持更新
提問 工作於廣播模式下,不需要週期性去查詢
回答
服務器端
Router1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#clock timezone EST -5
Router1(config)#clock summer-time EDT recurring
Router1(config)#ntp server 172.25.1.1
Router1(config)#ntp server 172.25.1.2
Router1(config)#interface FastEthernet0/0
Router1(config-if)#ntp broadcast
Router1(config-if)#end
Router1#
客戶端
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#clock timezone EST -5
Router1(config)#clock summer-time EDT recurring
Router1(config)#ntp server 172.25.1.1
Router1(config)#ntp server 172.25.1.2
Router1(config)#interface FastEthernet0/0
Router1(config-if)#ntp broadcast
Router1(config-if)#end
Router1#
客戶端
Router2#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router2(config)#clock timezone EST -5
Router2(config)#clock summer-time EDT recurring
Enter configuration commands, one per line. End with CNTL/Z.
Router2(config)#clock timezone EST -5
Router2(config)#clock summer-time EDT recurring
Router2(config)#ntp broadcastdelay 4
Router2(config)#interface Ethernet0
Router2(config-if)#ntp broadcast client
Router2(config-if)#end
Router2#
Router2(config)#interface Ethernet0
Router2(config-if)#ntp broadcast client
Router2(config-if)#end
Router2#
註釋 工作於廣播模式時間數據包是單方向的,通過broadcastdelay來控制週期,廣播模式不妨礙客戶端工作於服務器客戶端模式
14.10. NTP發送週期性組播包保持更新
提問 工作於組播模式下,不需要週期性去查詢
回答
服務器端
Router1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#clock timezone EST -5
Router1(config)#clock summer-time EDT recurring
Router1(config)#ntp server 172.25.1.1
Router1(config)#ntp server 172.25.1.3
Router1(config)#interface FastEthernet 0/0
Router1(config-if)#ntp multicast 224.0.1.1 ttl 1
Router1(config-if)#end
Router1#
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#clock timezone EST -5
Router1(config)#clock summer-time EDT recurring
Router1(config)#ntp server 172.25.1.1
Router1(config)#ntp server 172.25.1.3
Router1(config)#interface FastEthernet 0/0
Router1(config-if)#ntp multicast 224.0.1.1 ttl 1
Router1(config-if)#end
Router1#
客戶端
Router1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#clock timezone EST -5
Router1(config)#clock summer-time EDT recurring
Router1(config)#ntp server 172.25.1.1
Router1(config)#ntp server 172.25.1.3
Router1(config)#interface FastEthernet 0/0
Router1(config-if)#ntp multicast 224.0.1.1 ttl 1
Router1(config-if)#end
Router1#
註釋 組播相對於廣播的好處不用多說了,並且在這個模式的初始客戶端會先發送一些單播包來測量延遲,以使時間更準確,需要注意的是不
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#clock timezone EST -5
Router1(config)#clock summer-time EDT recurring
Router1(config)#ntp server 172.25.1.1
Router1(config)#ntp server 172.25.1.3
Router1(config)#interface FastEthernet 0/0
Router1(config-if)#ntp multicast 224.0.1.1 ttl 1
Router1(config-if)#end
Router1#
註釋 組播相對於廣播的好處不用多說了,並且在這個模式的初始客戶端會先發送一些單播包來測量延遲,以使時間更準確,需要注意的是不
是所有的設備都支持這種組播模式
14.11. 基於接口開啓NTP
提問 路由器配置爲NTP服務器,但是某些端口禁止NTP服務
回答
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#interface Serial0/1
Router(config-if)#ntp disable
Router(config-if)#end
Router#
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#interface Serial0/1
Router(config-if)#ntp disable
Router(config-if)#end
Router#
或者
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#access-list 107 deny udp any eq 123 any eq 123
Router(config)#access-list 107 permit ip any any
Router(config)#interface Serial0/1
Router(config-if)#ip access-group 107 in
Router(config-if)#end
Router#
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#access-list 107 deny udp any eq 123 any eq 123
Router(config)#access-list 107 permit ip any any
Router(config)#interface Serial0/1
Router(config-if)#ip access-group 107 in
Router(config-if)#end
Router#
註釋 控制列表的方式更嚴格,第一種只是阻止了相應的associations,但阻止不了NTP數據包
14.12. NTP 認證
提問 鑑權NTP數據包保證安全
回答
服務器端
Router1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#ntp authentication-key 2 md5 neoshi
Router1(config)#ntp authenticate
Router1(config)#ntp trusted-key 2
Router1(config)#end
Router1#
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#ntp authentication-key 2 md5 neoshi
Router1(config)#ntp authenticate
Router1(config)#ntp trusted-key 2
Router1(config)#end
Router1#
客戶端
Router2#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router2(config)#ntp authentication-key 2 md5 neoshi
Router2(config)#ntp authenticate
Router2(config)#ntp trusted-key 2
Router2(config)#ntp server 172.25.1.5 key 2
Router2(config)#end
Router2#
註釋 對於廣播或者組播模式key配置爲ntp broadcast key 2 和ntp multicast key 2
Enter configuration commands, one per line. End with CNTL/Z.
Router2(config)#ntp authentication-key 2 md5 neoshi
Router2(config)#ntp authenticate
Router2(config)#ntp trusted-key 2
Router2(config)#ntp server 172.25.1.5 key 2
Router2(config)#end
Router2#
註釋 對於廣播或者組播模式key配置爲ntp broadcast key 2 和ntp multicast key 2
14.13. 限制NTP Peers數目
提問 限制路由器可以接受的NTP Peers的數目
回答
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ntp max-associations 30
Router(config)#end
Router#
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ntp max-associations 30
Router(config)#end
Router#
註釋 無
14.14. 限制Peers
提問 對NTP服務進行更好粒度的控制
回答
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#access-list 88 permit host 172.25.1.1
Router(config)#access-list 88 permit host 10.1.1.1
Router(config)#access-list 99 permit 172.25.0.0 0.0.255.255
Router(config)#access-list 99 permit 10.2.0.0 0.0.255.255
Router(config)#clock timezone EST -5
Router(config)#clock summer-time EDT recurring
Router(config)#ntp server 172.25.1.1 version 3
Router(config)#ntp server 10.1.1.1 version 3
Router(config)#ntp access-group peer 88
Router(config)#ntp access-group serve-only 99
Router(config)#end
Router#
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#access-list 88 permit host 172.25.1.1
Router(config)#access-list 88 permit host 10.1.1.1
Router(config)#access-list 99 permit 172.25.0.0 0.0.255.255
Router(config)#access-list 99 permit 10.2.0.0 0.0.255.255
Router(config)#clock timezone EST -5
Router(config)#clock summer-time EDT recurring
Router(config)#ntp server 172.25.1.1 version 3
Router(config)#ntp server 10.1.1.1 version 3
Router(config)#ntp access-group peer 88
Router(config)#ntp access-group serve-only 99
Router(config)#end
Router#
註釋 路由器只允許內部時鐘從ACL88定義的兩個服務器中獲得同步,同時只有ACL99定義的兩個網段的客戶端可以從本設備請求時間信息
14.15. 設定時鐘週期
提問 希望調整自動生成的ntp clock-period xxxxxx 數值
回答
路由器在重啓之後會自動生成一個時鐘週期來加速再同步,不建議刪除或者修改
Router#show running-config | include clock-period
ntp clock-period 17180200
Router#
ntp clock-period 17180200
Router#
註釋 無
14.16. 檢查NTP狀態
提問 查看當前NTP狀態
回答
Router>show clock detail
Router>show ntp status
Router>show ntp associations
Router>show ntp associations detail
Router>show ntp status
Router>show ntp associations
Router>show ntp associations detail
註釋 Router>show clock detail
.15:54:33.079 EST Sun Jan 29 2006
Time source is NTP
此輸出前面有個.代表此時鐘沒有同步
14.17. NTP排錯
提問 解決NTP出錯的問題
回答
NTP非常穩定,出問題很大可能性就是連接性的問題
Router#debug ntp packets
註釋 Router#debug ntp packet
NTP packets debugging is on
.Mar 21 02:39:18: NTP: xmit packet to 172.25.1.5:
.Mar 21 02:39:18: leap 3, mode 3, version 3, stratum 0, ppoll 64
.Mar 21 02:39:18: rtdel 28C7 (159.286), rtdsp 2444 (141.663), refid AC190101
.Mar 21 02:39:18: ref C043C43F.47A9CD5C (21:30:23.279 EST Wed Mar 20 2003)
.Mar 21 02:39:18: org 00000000.00000000 (19:00:00.000 EST Thu Dec 31 1899)
.Mar 21 02:39:18: rec 00000000.00000000 (19:00:00.000 EST Thu Dec 31 1899)
.Mar 21 02:39:18: xmt C043C656.4DFC7394 (21:39:18.304 EST Wed Mar 20 2003)
.Mar 21 02:39:25: NTP: rcv packet from 172.25.1.5 to 172.16.2.2 on Fa0/0.1:
.Mar 21 02:39:25: leap 3, mode 3, version 3, stratum 0, ppoll 64
.Mar 21 02:39:25: rtdel 286E (157.928), rtdsp 0EC6 (57.709), refid AC190101
.Mar 21 02:39:25: ref C043C4D7.1D633CDE (21:32:55.114 EST Wed Mar 20 2003)
.Mar 21 02:39:25: org 00000000.00000000 (19:00:00.000 EST Thu Dec 31 1899)
.Mar 21 02:39:25: rec 00000000.00000000 (19:00:00.000 EST Thu Dec 31 1899)
.Mar 21 02:39:25: xmt C043C65D.1D0A6CBC (21:39:25.113 EST Wed Mar 20 2003)
.Mar 21 02:39:25: inp C043C65D.1296E3C7 (21:39:25.072 EST Wed Mar 20 2003)
.Mar 21 02:39:18: NTP: xmit packet to 172.25.1.5:
.Mar 21 02:39:18: leap 3, mode 3, version 3, stratum 0, ppoll 64
.Mar 21 02:39:18: rtdel 28C7 (159.286), rtdsp 2444 (141.663), refid AC190101
.Mar 21 02:39:18: ref C043C43F.47A9CD5C (21:30:23.279 EST Wed Mar 20 2003)
.Mar 21 02:39:18: org 00000000.00000000 (19:00:00.000 EST Thu Dec 31 1899)
.Mar 21 02:39:18: rec 00000000.00000000 (19:00:00.000 EST Thu Dec 31 1899)
.Mar 21 02:39:18: xmt C043C656.4DFC7394 (21:39:18.304 EST Wed Mar 20 2003)
.Mar 21 02:39:25: NTP: rcv packet from 172.25.1.5 to 172.16.2.2 on Fa0/0.1:
.Mar 21 02:39:25: leap 3, mode 3, version 3, stratum 0, ppoll 64
.Mar 21 02:39:25: rtdel 286E (157.928), rtdsp 0EC6 (57.709), refid AC190101
.Mar 21 02:39:25: ref C043C4D7.1D633CDE (21:32:55.114 EST Wed Mar 20 2003)
.Mar 21 02:39:25: org 00000000.00000000 (19:00:00.000 EST Thu Dec 31 1899)
.Mar 21 02:39:25: rec 00000000.00000000 (19:00:00.000 EST Thu Dec 31 1899)
.Mar 21 02:39:25: xmt C043C65D.1D0A6CBC (21:39:25.113 EST Wed Mar 20 2003)
.Mar 21 02:39:25: inp C043C65D.1296E3C7 (21:39:25.072 EST Wed Mar 20 2003)
上面是一個debug的輸出,從中看到了來自server的數據包顯示爲stratum 0,代表服務器沒有同步,既然上游服務器沒有同步,本地服務
器就更不能同步了
14.18. NTP 日誌
提問 記錄重要的NTP事件
回答
Router2#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router2(config)#ntp logging
Router2(config)#end
Router2#
Enter configuration commands, one per line. End with CNTL/Z.
Router2(config)#ntp logging
Router2(config)#end
Router2#
註釋 此命令來自12.3(7)T,下面是一個日誌記錄
Router2#show logging | include NTP
000019: Jan 29 10:57:52.633 EST: %NTP-5-PEERSYNC: NTP synced to peer 172.25.1.5
000020: Jan 29 10:57:52.637 EST: %NTP-6-PEERREACH: Peer 172.25.1.5 is reachable
000024: Jan 29 11:01:20.653 EST: %NTP-4-PEERUNREACH: Peer 172.25.1.5 is unreachable
000026: Jan 29 11:15:11.985 EST: %NTP-4-UNSYNC: NTP sync is lost
000019: Jan 29 10:57:52.633 EST: %NTP-5-PEERSYNC: NTP synced to peer 172.25.1.5
000020: Jan 29 10:57:52.637 EST: %NTP-6-PEERREACH: Peer 172.25.1.5 is reachable
000024: Jan 29 11:01:20.653 EST: %NTP-4-PEERUNREACH: Peer 172.25.1.5 is unreachable
000026: Jan 29 11:15:11.985 EST: %NTP-4-UNSYNC: NTP sync is lost
14.19. Extended Daylight Saving Time
註釋 美國爲了節省能源從2007年開始調整了夏時制的設置,此略去
<!--[if !supportLists]-->14.20. <!--[endif]-->NTP 服務器配置
註釋 主機配置暫略去
=====================================================================
在cisco 10.40.0.1上建立NTP服務器
NTP服務器上:
conf t
snmp-server community public ro
ntp autentication-key 1 md5 cxzhzx 7
ntp authenticate
ntp trusted-key 1
ntp source vlan40
ntp master 1
end
在cisco 10.40.0.1上建立NTP服務器
NTP服務器上:
conf t
snmp-server community public ro
ntp autentication-key 1 md5 cxzhzx 7
ntp authenticate
ntp trusted-key 1
ntp source vlan40
ntp master 1
end
客戶端:
conf t
no ntp
ntp authentication-key 1 md5 cxzhzx 7
ntp authenticate
ntp trusted-key 1
ntp server 10.40.0.1 key 1
end
================================================================
路由器的NTP(網絡時鐘協議)配置
Network Time Protocol(NTP)是用來使計算機時間同步化的一種協議,它可以使計算機對其服務器或時鐘源(如石英鐘,GPS等等)做同步化
conf t
no ntp
ntp authentication-key 1 md5 cxzhzx 7
ntp authenticate
ntp trusted-key 1
ntp server 10.40.0.1 key 1
end
================================================================
路由器的NTP(網絡時鐘協議)配置
Network Time Protocol(NTP)是用來使計算機時間同步化的一種協議,它可以使計算機對其服務器或時鐘源(如石英鐘,GPS等等)做同步化
,它可以提供高精準度的時間校正(LAN上與標準間差小於1毫秒,WAN上幾十毫秒),且可介由加密確認的方式來防止惡毒的協議***。
配置NTP首先組要創建一個連接。使用下列命令初始化連接的配置:
ntp server ip _address [version number][key key_id][source interface][prefer]
ntp peer ip _address [version number][key key_id][source interface][prefer]
如果路由器將和另一個NTP時鐘同步,則建立一個服務器連接。如果路由器不但與另一個設備
同步,而且允許其他設備和該路由器同步,則創建一個對等連接。缺省的版本時3,缺省情況下,沒有配置認證key id,源IP地址發送端口
的IP地址,prefer告訴IOS該同步對等體的優先級。
爲控制對路由器NTP服務的訪問,使用下面的命令:
ntp access-group {query|serve-only|serve|peer} access-list-number
query-only:允許從列出的IP地址發出NTP控制查詢。控制查詢用在監視NTP進程的SNMP網絡 管理工作站。
serve-only:允許訪問控制列表上的IP地址請求事件,路由器不向遠程系統同步時間。
serve:允許時間請求和控制查詢,路由器同樣不向遠程系統同步時間。
peer:允許時請求和控制查詢,並且允許路由器從遠程系統同步時間。
例:
Seattle
access-list 1 permit 172.16.0.0 0.0.255.255
access-list 2 permit 128.10.39.11
ntp access-group peer 2
ntp access-group serve 1
ntp server 128.105.39.11
Tacoma
ntp server 172.16.1.5
access-list 1 permit 172.16.0.0 0.0.255.255
access-list 2 permit 128.10.39.11
ntp access-group peer 2
ntp access-group serve 1
ntp server 128.105.39.11
Tacoma
ntp server 172.16.1.5
以上配置允許路由器:Settle從一個公共的二級時鐘源同步,在與Seattle同一個網絡上的另一個路由器Tacoma被允許從Seattle獲得同步
。
NTP 時間時UTC.如果希望路由器保持在另一個時區,你可以使用下列命令保持本地時間:
clock timezone pst -8
clock summer-time PDT recurring
clock summer-time PDT recurring
使用ntp update-calendar 命令使路由器用NTP獲得的時間更新內部日曆。
NTP的認證:
ntp authentication
ntp authentication-key number md5 key
ntp trusted-key number
ntp server ip-address key number
ntp authentication-key number md5 key
ntp trusted-key number
ntp server ip-address key number
ntp authentication 必須配置在NTP服務器和請求時間同步的路由器。(在全局下)。
ntp authentication-key 需要配置在所有路由器,該命令定義的認證串並將其賦值。
請求時間同步的路由器使用ntp trusyed-key命令配置。該命令列出了ntp authentication-key
命令定義的認證串的數值,該數值必須包含在NTP 同步請求包中。所以ntp trusted-key只
配置在客戶路由器端。
key number必須包含在客戶的ntp server命令中,該命令將密碼包含到客戶發往服務器的NTP包中。當路由器看到密碼,如果該密碼在服務
器中有定義,則將密碼包含到發往客戶的NTP包中。
例:
Seattle
ntp authencation
ntp authencation-key 10 md5 ntpkey
Tacoma
ntp authencation
ntp authencation-key 10 md5 ntpkey
ntp trusted-key 10
ntp server seattle key 10
ntp authencation
ntp authencation-key 10 md5 ntpkey
Tacoma
ntp authencation
ntp authencation-key 10 md5 ntpkey
ntp trusted-key 10
ntp server seattle key 10
Tacoma的ntp server seattle key 10命令指定在Tacoma 與Seattle時鐘同步以前,服務器Seattle必須在NTP包中提供10號密碼。從Tacoma
的包中,Seattle看到10號密碼。
Seattle 中的ntp authentication-key 10 md5 ntpkey命令可以使Seattle在對Tacoma的應答包中包含認證密碼10.
排錯:
show ntp status
sh ntp association detail
sh ntp association detail
===================================================================
Cisco網絡環境中的NTP配置[網絡時間協議]
在Cisco網絡系統中的NTP配置
主題
. NTP 技術概述
. 配置C i s c o路由器爲N T P時間服務器
. 配置N T P對等體
. Cisco NTP身份驗證
. 配置Cisco NTP用於局域網廣播
1引言
網絡時間協議( N T P)是用來在整個網絡內發佈精確時間的T C P / I P協議,其本身的傳輸基於U D P。本文將探討Cisco IOS的N T P特性
. NTP 技術概述
. 配置C i s c o路由器爲N T P時間服務器
. 配置N T P對等體
. Cisco NTP身份驗證
. 配置Cisco NTP用於局域網廣播
1引言
網絡時間協議( N T P)是用來在整個網絡內發佈精確時間的T C P / I P協議,其本身的傳輸基於U D P。本文將探討Cisco IOS的N T P特性
。
1.1 NTP技術概述
所有C i s c o路由器都有自己的系統時鐘,能夠保存當前的日期和時間。N T P主要解決網絡 內所有路由器的時鐘同步問題,除此之外,它也
所有C i s c o路由器都有自己的系統時鐘,能夠保存當前的日期和時間。N T P主要解決網絡 內所有路由器的時鐘同步問題,除此之外,它也
能用於在給定網絡內所有系統時鐘的同步, 包括工作站或其它具有時鐘的系統。對於各種各樣的工作站和服務器來講,都有相應的N T P 客戶
端軟件。對於一個網絡內所有的路由器,使其時鐘同步是非常重要的,因爲:
——調試與事件時間戳( t i m e s t a m p s):從不同路由器採集的調試與事件時間戳是沒有什麼意
義的,除非這些路由器是以同一公共時間爲參考。
——事物處理:事物處理需要精確的時間戳( t i m e s t a m p s)。
——仿真:複雜的事物往往需細分,由多個系統來處理,爲保證事件的正確順序,多個系統
必須參考同一時鐘。
——系統維護:完成某些功能如同時重裝( r e l o a d)網絡內的所有路由器,整個網絡必須擁
有公共時鐘。
N T P通常能夠使廣域網內的所有系統時鐘在1 0毫秒內同步。
——調試與事件時間戳( t i m e s t a m p s):從不同路由器採集的調試與事件時間戳是沒有什麼意
義的,除非這些路由器是以同一公共時間爲參考。
——事物處理:事物處理需要精確的時間戳( t i m e s t a m p s)。
——仿真:複雜的事物往往需細分,由多個系統來處理,爲保證事件的正確順序,多個系統
必須參考同一時鐘。
——系統維護:完成某些功能如同時重裝( r e l o a d)網絡內的所有路由器,整個網絡必須擁
有公共時鐘。
N T P通常能夠使廣域網內的所有系統時鐘在1 0毫秒內同步。
1.2 NTP的工作原理
本節將給出N T P工作原理的簡要介紹,有關N T P的詳細描述在R F C 1 3 0 5中給出。 N T P所針對的基本問題如圖1所示。兩臺路由器A和B
本節將給出N T P工作原理的簡要介紹,有關N T P的詳細描述在R F C 1 3 0 5中給出。 N T P所針對的基本問題如圖1所示。兩臺路由器A和B
通過串口相連,它們都有自己獨 立的系統時鐘,問題是怎麼樣來實現各自系統時鐘的自動同步?
我們假設:
——在路由器A和B的系統時鐘同步之前,路由器A的時鐘設定爲10:00 a.m.,路由器B的時鐘
設定爲11:00 a.m.。
——以路由器B爲時間服務器(time server),即路由器A將使自己的時鐘與路由器B同步。
——數據包在路由器A和B之間單向傳輸所需的時間爲1秒。
——數據包在路由器B內部進行處理的時延爲1秒。
我們假設:
——在路由器A和B的系統時鐘同步之前,路由器A的時鐘設定爲10:00 a.m.,路由器B的時鐘
設定爲11:00 a.m.。
——以路由器B爲時間服務器(time server),即路由器A將使自己的時鐘與路由器B同步。
——數據包在路由器A和B之間單向傳輸所需的時間爲1秒。
——數據包在路由器B內部進行處理的時延爲1秒。
系統時鐘同步的工作過程如下:
1) 路由器A發送一個N T P包給路由器B,該包帶有它離開路由器A的時間戳,該時間戳爲
10:00:00 a.m.。
2) 當此N T P包到達路由器B時,路由器B加上自己的時間戳,該時間戳爲11 : 0 0 : 0 1 a . m .。
3) 當此N T P包離開路由器B時,路由器B再次加上自己的時間戳,該時間戳爲11:00:02 a.m.。
4) 當路由器A接收到該響應包時,加上一個新的時間戳,該時間戳爲10:00:03 a.m.。
至此,路由器A已擁有足夠的信息以計算兩個重要的參數:
NTP數據包來回一個週期的時延。
路由器A和路由器B的時鐘差。
於是路由器A能夠設定自己的時鐘與路由器B同步。
應當注意這只是N T P工作原理的一個粗略描述,在R F C 1 3 0 5規範中,N T P使用複雜的算法
來確保時鐘同步的精確性。
1) 路由器A發送一個N T P包給路由器B,該包帶有它離開路由器A的時間戳,該時間戳爲
10:00:00 a.m.。
2) 當此N T P包到達路由器B時,路由器B加上自己的時間戳,該時間戳爲11 : 0 0 : 0 1 a . m .。
3) 當此N T P包離開路由器B時,路由器B再次加上自己的時間戳,該時間戳爲11:00:02 a.m.。
4) 當路由器A接收到該響應包時,加上一個新的時間戳,該時間戳爲10:00:03 a.m.。
至此,路由器A已擁有足夠的信息以計算兩個重要的參數:
NTP數據包來回一個週期的時延。
路由器A和路由器B的時鐘差。
於是路由器A能夠設定自己的時鐘與路由器B同步。
應當注意這只是N T P工作原理的一個粗略描述,在R F C 1 3 0 5規範中,N T P使用複雜的算法
來確保時鐘同步的精確性。
1.3 NTP實現
在實際應用中,通常不會採用路由器來作爲N T P服務器,使用商業時鐘產品可以獲得更
高的時鐘精確度。一類該產品如D ATUM Tymserve 2000網絡時間服務器,該設備綜合了G P S
接收器和N T P服務器的功能,它能夠接收G P S網絡第1層的時鐘信號,以及與以太網相連,響
應來自同位體和客戶端的N T P請求。由於這類設備的費用低,也可以用於分佈時鐘系統(在
本地如大學校園裏安放Tymserve 2000)—無需跨過廣域網進行時鐘同步。
在實際應用中,通常不會採用路由器來作爲N T P服務器,使用商業時鐘產品可以獲得更
高的時鐘精確度。一類該產品如D ATUM Tymserve 2000網絡時間服務器,該設備綜合了G P S
接收器和N T P服務器的功能,它能夠接收G P S網絡第1層的時鐘信號,以及與以太網相連,響
應來自同位體和客戶端的N T P請求。由於這類設備的費用低,也可以用於分佈時鐘系統(在
本地如大學校園裏安放Tymserve 2000)—無需跨過廣域網進行時鐘同步。
2 本文所討論的命令
命令的定義
——ntp access-group: 該全局命令用於路由器N T P服務的訪問控制。
——ntp authenticate: 是一個全局命令,它啓用N T P身份驗證。
——ntp authentication-key: 該全局命令用於定義N T P身份驗證的鍵值。
——ntp broadcast: 是一個接口命令,用於指定一特定接口來發送N T P廣播包。
——ntp broadcast client: 是一個接口命令,使路由器通過特定接口來接收N T P廣播包。
——ntp broadcast delay: 是一個全局命令,它用於設定數據包在路由器和N T P服務器之間一個回程所需時間的估計值。
——ntp clock-period: 這條全局命令不必輸入,當使用N T P進行系統時鐘同步時,路由器將自動產生這條命令。
——ntp disable: 這條接口命令使特定接口不接收N T P包。
——ntp master: 這條全局命令用來配置路由器爲N T P主時鐘,只有當沒有可用的外部N T P源或者爲測試用途才使用該命令。
——ntp peer: 該全局命令使路由器的系統時鐘與其對等體的時鐘同步(或對對等體的時鐘進行同步)。
——ntp server: 該全局命令使路由器的系統時鐘由時間服務器進行同步。
——ntp source: 該全局命令強制路由器在其N T P包中使用特定的源地址。
——ntp trusted-key: 該全局命令用於確認路由器的特定身份驗證鍵值。
——ntp update-calendar: 該全局命令使N T P週期性地更新Cisco 7XXX 系列路由器的日曆。
——show ntp status: 是一執行模式命令,用於顯示路由器的N T P信息,它可以表明該路由器是通過N T P對等體進行時鐘同步還是通過N T
命令的定義
——ntp access-group: 該全局命令用於路由器N T P服務的訪問控制。
——ntp authenticate: 是一個全局命令,它啓用N T P身份驗證。
——ntp authentication-key: 該全局命令用於定義N T P身份驗證的鍵值。
——ntp broadcast: 是一個接口命令,用於指定一特定接口來發送N T P廣播包。
——ntp broadcast client: 是一個接口命令,使路由器通過特定接口來接收N T P廣播包。
——ntp broadcast delay: 是一個全局命令,它用於設定數據包在路由器和N T P服務器之間一個回程所需時間的估計值。
——ntp clock-period: 這條全局命令不必輸入,當使用N T P進行系統時鐘同步時,路由器將自動產生這條命令。
——ntp disable: 這條接口命令使特定接口不接收N T P包。
——ntp master: 這條全局命令用來配置路由器爲N T P主時鐘,只有當沒有可用的外部N T P源或者爲測試用途才使用該命令。
——ntp peer: 該全局命令使路由器的系統時鐘與其對等體的時鐘同步(或對對等體的時鐘進行同步)。
——ntp server: 該全局命令使路由器的系統時鐘由時間服務器進行同步。
——ntp source: 該全局命令強制路由器在其N T P包中使用特定的源地址。
——ntp trusted-key: 該全局命令用於確認路由器的特定身份驗證鍵值。
——ntp update-calendar: 該全局命令使N T P週期性地更新Cisco 7XXX 系列路由器的日曆。
——show ntp status: 是一執行模式命令,用於顯示路由器的N T P信息,它可以表明該路由器是通過N T P對等體進行時鐘同步還是通過N T
P服務器進行同步。
——show ntp association[detail]: 這條執行模式命令顯示與N T P有關的信息,如*詢週期等。
——show ntp association[detail]: 這條執行模式命令顯示與N T P有關的信息,如*詢週期等。
3 IOS需求
本文的實驗使用的是IOS 11 . 2版,這裏所討論的N T P功能大部分可以用IOS 10.0或以後版本進行測試。讀者可以到Cisco 網站上查看所擁有
本文的實驗使用的是IOS 11 . 2版,這裏所討論的N T P功能大部分可以用IOS 10.0或以後版本進行測試。讀者可以到Cisco 網站上查看所擁有
的特定I O S版本的相應N T P報告。某些版本的I O S還有專門針對N T P功能的特殊版本。
4 實驗:使用時間服務器的Cisco NTP
4.1 所需設備
爲完成本實驗需要下列設備:
1) 三臺C i s c o路由器,其中一臺有兩個串口;
2) Cisco IOS 10.0或更高;
3) 運行終端仿真程序的P C一臺;
4) 兩根Cisco DTE/DCE交叉電纜,如果沒有可用的交叉電纜,可以將標準的Cisco DTE電纜與標準的Cisco DCE電纜相連接做成一條交叉電纜。
爲完成本實驗需要下列設備:
1) 三臺C i s c o路由器,其中一臺有兩個串口;
2) Cisco IOS 10.0或更高;
3) 運行終端仿真程序的P C一臺;
4) 兩根Cisco DTE/DCE交叉電纜,如果沒有可用的交叉電纜,可以將標準的Cisco DTE電纜與標準的Cisco DCE電纜相連接做成一條交叉電纜。
4.2 配置概述
本實驗將演示兩臺C i s c o路由器與作爲N T P時間服務器的另外一臺路由器進行同步,三臺 路由器通過串口進行連接,路由器A和B之間、路
本實驗將演示兩臺C i s c o路由器與作爲N T P時間服務器的另外一臺路由器進行同步,三臺 路由器通過串口進行連接,路由器A和B之間、路
由器B和C之間都是通過交叉電纜連接。 路由器B作爲D C E,爲路由器A和C提供時鐘, I P地址的分配如圖2所示,運行終端仿 真程序的P C與
路由器A的控制端口相連。
路由器A被設爲N T P主時鐘,路由器B和C都被配置成根據路由器A來同步時鐘。 注意N T P的會聚( c o n v e rg e n c e )可能需要長達半個
小時,這意味着在修改N T P主系統時鐘之後,再過半個小時其它的時 鍾才進行同步。這是因爲N T P將時鐘的改變視爲時鐘系統的不穩定。
NTP需在等待系統穩定後纔會進行同步和傳遞時鐘的改變。
C i s c o路由器在加電啓動後沒有一個有效的日期和時間設置,加電後其時鐘被設定爲1 9 9 3年3月1日,在N T P生效之前必須爲路由器設定
C i s c o路由器在加電啓動後沒有一個有效的日期和時間設置,加電後其時鐘被設定爲1 9 9 3年3月1日,在N T P生效之前必須爲路由器設定
一個有效的時鐘,設定時鐘的命令語法如下:
clock set 時:分:秒日月年
clock set 時:分:秒日月年
4.3 路由器配置
本例中三臺路由器的配置情況如下:
1. 路由器A
本例中三臺路由器的配置情況如下:
1. 路由器A
2. 路由器B
3. 路由器C
4.4 監測配置
在路由器A會聚和新設定的時鐘穩定之後,它將開始傳播其時鐘設定值。可以用show ntp s t a t u s命令來監測各路由器時鐘同步的情況。
在路由器A上執行show ntp status的結果說明它處於同步狀態,注意到其參考點顯示爲“本地”,因爲該路由器被設置爲主時鐘。由於在路由
在路由器A會聚和新設定的時鐘穩定之後,它將開始傳播其時鐘設定值。可以用show ntp s t a t u s命令來監測各路由器時鐘同步的情況。
在路由器A上執行show ntp status的結果說明它處於同步狀態,注意到其參考點顯示爲“本地”,因爲該路由器被設置爲主時鐘。由於在路由
器A中配置有ntp master 1命令項,該路由器將自身定爲第1層時鐘源。
在路由器B和C上執行show ntp status,其輸出結果是完全相同的。從顯示信息我們看到這兩臺路由器都處於同步狀態,各自的時鐘均屬於第2
層,這是由於它們都是根據第1層的時鐘源進行同步。另外,它們的時鐘參考點爲1 9 2 . 1 . 1 . 1,這是N T P主時鐘路由器A的串口地址。
另外一個有用的命令是show ntp associations,三臺路由器上分別運行該命令的執行結果如下所示。該命令顯示路由器發送和接收N T P更新
信息的頻度,以及接收到最後一個更新信息的時間。例如,路由器B在1 4秒鐘之前收到最後一個N T P更新信息。
5 實驗:使用時間服務器和對等體的Cisco NTP
5.1 所需設備
爲完成本實驗需要下列設備:
1) 三臺C i s c o路由器,其中一臺有兩個串口;
2) Cisco IOS 10.0或更高;
3) 運行終端仿真程序的P C一臺;
4) 兩根Cisco DTE/DCE交叉電纜,如果沒有可用的交叉電纜,可以將標準的Cisco DTE電纜與標準的Cisco DCE電纜相連接做成一根交叉電纜。
5.2 配置概述
本實驗將演示一臺C i s c o路由器與作爲N T P時間服務器的路由器進行同步,而另外一臺路由器則通過與Cisco NTP時間服務器之間對等連接
爲完成本實驗需要下列設備:
1) 三臺C i s c o路由器,其中一臺有兩個串口;
2) Cisco IOS 10.0或更高;
3) 運行終端仿真程序的P C一臺;
4) 兩根Cisco DTE/DCE交叉電纜,如果沒有可用的交叉電纜,可以將標準的Cisco DTE電纜與標準的Cisco DCE電纜相連接做成一根交叉電纜。
5.2 配置概述
本實驗將演示一臺C i s c o路由器與作爲N T P時間服務器的路由器進行同步,而另外一臺路由器則通過與Cisco NTP時間服務器之間對等連接
來進行時鐘同步。三臺路由器通過串口進行連接,路由器A和B之間、路由器B和C之間的連接都使用交叉電纜。路由器B作爲D C E,爲路由器A和
C提供時鐘,IP地址的分配如圖3所示,運行終端仿真程序的PC與路由器A的控制端口相連。
路由器A被設置爲N T P主時鐘,路由器B被配置成通過N T P服務器與路由器A進行時鐘同步,路由器C則被配置成路由器B的對等體,與B的時鐘
路由器A被設置爲N T P主時鐘,路由器B被配置成通過N T P服務器與路由器A進行時鐘同步,路由器C則被配置成路由器B的對等體,與B的時鐘
同步。由於路由器B已經與路由器A處於同步態,路由器C將一直保持與B的時鐘同步。
注意N T P的會聚( c o n v e rg e n c e )可能需要長達半個小時,這意味着在修改N T P主系統時鐘之後,再過半個小時其它的時鐘才進行
同步。這是因爲N T P將時鐘的改變視爲時鐘系統的不穩定。NTP需在等待系統穩定後纔會進行同步和傳遞時鐘的改變。
C i s c o路由器在加電啓動後沒有一個有效的日期和時間設置, 加電後其時鐘被設定爲1 9 9 3年3月1日, 在N T P生效之前必須爲路由器設定
C i s c o路由器在加電啓動後沒有一個有效的日期和時間設置, 加電後其時鐘被設定爲1 9 9 3年3月1日, 在N T P生效之前必須爲路由器設定
一個有效的時鐘, 設定時鐘的命令語法如下:
clock set 時:分:秒日月年
clock set 時:分:秒日月年
5.3 路由器配置
本實驗中三臺路由器的配置情況如下(關鍵N T P命令以加粗字體顯示):
1. 路由器A
本實驗中三臺路由器的配置情況如下(關鍵N T P命令以加粗字體顯示):
1. 路由器A
2. 路由器B
3. 路由器C
5.4 監測配置
在路由器A會聚和新設定的時鐘穩定之後,它將開始傳播其時鐘設定值。可以用show ntps t a t u s命令來監測各路由器時鐘同步的情況。
在路由器A上執行show ntp status 的結果說明它處於同步狀態,注意到其參考點顯示爲“本地”,因爲該路由器被設置爲主時鐘。由於在路由
在路由器A會聚和新設定的時鐘穩定之後,它將開始傳播其時鐘設定值。可以用show ntps t a t u s命令來監測各路由器時鐘同步的情況。
在路由器A上執行show ntp status 的結果說明它處於同步狀態,注意到其參考點顯示爲“本地”,因爲該路由器被設置爲主時鐘。由於在路由
器A中配置有ntp master 1命令項,該路由器將自身定爲第1層時鐘源。
可以看到,在路由器B和C上執行show ntp status,其結果顯示是不完全相同的。路由器B與路由器A同步,它被列爲第2層時鐘源,其參考點爲1
9 2 . 1 . 1 . 1(路由器A)。路由器C被列爲第3層時鐘源,因爲它是根據路由器B進行時鐘同步的,其參考點爲1 9 6 . 1 . 1 . 2。
下面爲執行show ntp associations命令所顯示的輸出結果,該命令說明路由器收/發N T P更新包的頻率及收到最後一個更新數據包的時間。以
路由器C爲例,它在1 0秒前收到最後一個N T P更新包。
==============================================================
Cisco配置NTP服務和協議
==============================================================
Cisco配置NTP服務和協議
NTP協議全稱網絡時間協議(Network Time Procotol)。它的目的是在國際互聯網上傳遞統一、標準的時間。具體的實現方案是在網絡上指定
若干時鐘源網站,爲用戶提供授時服務,並且這些網站間應該能夠相互比對,提高準確度。
* 服務器:
conf t
ntp autentication-key 1 md5 cxzhzx 7 NTP認證
ntp authenticate NTP認證
ntp trusted-key 1 NTP認證
ntp source vlan1 設置ntp時鐘原的端口或IP地址
ntp update-calendar 允許NTP定期更新calendar
ntp master 2 允許本機作爲NTP協議的主時鐘,精度級別2,供其它對等體同步用
ntp server 202.112.7.150 在網絡上指定若干時鐘源網站
End
ntp autentication-key 1 md5 cxzhzx 7 NTP認證
ntp authenticate NTP認證
ntp trusted-key 1 NTP認證
ntp source vlan1 設置ntp時鐘原的端口或IP地址
ntp update-calendar 允許NTP定期更新calendar
ntp master 2 允許本機作爲NTP協議的主時鐘,精度級別2,供其它對等體同步用
ntp server 202.112.7.150 在網絡上指定若干時鐘源網站
End
* 客戶端:
conf t
ntp authentication-key 1 md5 cxzhzx 7
ntp authenticate
ntp trusted-key 1
ntp source vlan1
ntp server 10.1.47.100
end
ntp authentication-key 1 md5 cxzhzx 7
ntp authenticate
ntp trusted-key 1
ntp source vlan1
ntp server 10.1.47.100
end