zbzj2145
技术员
帖子
136
精华
0
无忧币 1268
积分 274
阅读权限 30
|
发表于:2008-4-28 22:58
标题:Cisco网络环境中的NTP配置[网络时间协议]
<上一帖 |
下一帖>
所有有关“思科技术”的资料
来源版块: 思科技术
压缩包内文件格式: 电子书
附件来源: 互联网
运行平台: Windows平台
是否经本人验证: 是
附件性质: 共享
注册码: zbzj2145
详细说明: Cisco网络环境中的NTP配置[网络时间协议]
在Cisco网络系统中的NTP配置
主题
. NTP 技术概述
. 配置C i s c o路由器为N T P时间服务器
. 配置N T P对等体
. Cisco NTP身份验证
. 配置Cisco NTP用于局域网广播
1引言
网络时间协议( N T P)是用来在整个网络内发布精确时间的T C P / I P协议,其本身的传输基于U D P。本文将探讨Cisco IOS的N T P特性。
1.1 NTP技术概述
所有C i s c o路由器都有自己的系统时钟,能够保存当前的日期和时间。N T P主要解决网络 内所有路由器的时钟同步问题,除此之外,它也能用于在给定网络内所有系统时钟的同步, 包括工作站或其它具有时钟的系统。对于各种各样的工作站和服务器来讲,都有相应的N T P 客户端软件。对于一个网络内所有的路由器,使其时钟同步是非常重要的,因为:
——调试与事件时间戳( t i m e s t a m p s):从不同路由器采集的调试与事件时间戳是没有什么意
义的,除非这些路由器是以同一公共时间为参考。
——事物处理:事物处理需要精确的时间戳( t i m e s t a m p s)。
——仿真:复杂的事物往往需细分,由多个系统来处理,为保证事件的正确顺序,多个系统
必须参考同一时钟。
——系统维护:完成某些功能如同时重装( r e l o a d)网络内的所有路由器,整个网络必须拥
有公共时钟。
N T P通常能够使广域网内的所有系统时钟在1 0毫秒内同步。
1.2 NTP的工作原理
本节将给出N T P工作原理的简要介绍,有关N T P的详细描述在R F C 1 3 0 5中给出。 N T P所针对的基本问题如图1所示。两台路由器A和B通过串口相连,它们都有自己独 立的系统时钟,问题是怎么样来实现各自系统时钟的自动同步?
我们假设:
——在路由器A和B的系统时钟同步之前,路由器A的时钟设定为10:00 a.m.,路由器B的时钟
设定为11:00 a.m.。
——以路由器B为时间服务器(time server),即路由器A将使自己的时钟与路由器B同步。
——数据包在路由器A和B之间单向传输所需的时间为1秒。
——数据包在路由器B内部进行处理的时延为1秒。
系统时钟同步的工作过程如下:
1) 路由器A发送一个N T P包给路由器B,该包带有它离开路由器A的时间戳,该时间戳为
10:00:00 a.m.。
2) 当此N T P包到达路由器B时,路由器B加上自己的时间戳,该时间戳为11 : 0 0 : 0 1 a . m .。
3) 当此N T P包离开路由器B时,路由器B再次加上自己的时间戳,该时间戳为11:00:02 a.m.。
4) 当路由器A接收到该响应包时,加上一个新的时间戳,该时间戳为10:00:03 a.m.。
至此,路由器A已拥有足够的信息以计算两个重要的参数:
NTP数据包来回一个周期的时延。
路由器A和路由器B的时钟差。
于是路由器A能够设定自己的时钟与路由器B同步。
应当注意这只是N T P工作原理的一个粗略描述,在R F C 1 3 0 5规范中,N T P使用复杂的算法
来确保时钟同步的精确性。
1.3 NTP实现
在实际应用中,通常不会采用路由器来作为N T P服务器,使用商业时钟产品可以获得更
高的时钟精确度。一类该产品如D ATUM Tymserve 2000网络时间服务器,该设备综合了G P S
接收器和N T P服务器的功能,它能够接收G P S网络第1层的时钟信号,以及与以太网相连,响
应来自同位体和客户端的N T P请求。由于这类设备的费用低,也可以用于分布时钟系统(在
本地如大学校园里安放Tymserve 2000)—无需跨过广域网进行时钟同步。
2 本文所讨论的命令
命令的定义
——ntp access-group: 该全局命令用于路由器N T P服务的访问控制。
——ntp authenticate: 是一个全局命令,它启用N T P身份验证。
——ntp authentication-key: 该全局命令用于定义N T P身份验证的键值。
——ntp broadcast: 是一个接口命令,用于指定一特定接口来发送N T P广播包。
——ntp broadcast client: 是一个接口命令,使路由器通过特定接口来接收N T P广播包。
——ntp broadcast delay: 是一个全局命令,它用于设定数据包在路由器和N T P服务器之间一个回程所需时间的估计值。
——ntp clock-period: 这条全局命令不必输入,当使用N T P进行系统时钟同步时,路由器将自动产生这条命令。
——ntp disable: 这条接口命令使特定接口不接收N T P包。
——ntp master: 这条全局命令用来配置路由器为N T P主时钟,只有当没有可用的外部N T P源或者为测试用途才使用该命令。
——ntp peer: 该全局命令使路由器的系统时钟与其对等体的时钟同步(或对对等体的时钟进行同步)。
——ntp server: 该全局命令使路由器的系统时钟由时间服务器进行同步。
——ntp source: 该全局命令强制路由器在其N T P包中使用特定的源地址。
——ntp trusted-key: 该全局命令用于确认路由器的特定身份验证键值。
——ntp update-calendar: 该全局命令使N T P周期性地更新Cisco 7XXX 系列路由器的日历。
——show ntp status: 是一执行模式命令,用于显示路由器的N T P信息,它可以表明该路由器是通过N T P对等体进行时钟同步还是通过N T P服务器进行同步。
——show ntp association[detail]: 这条执行模式命令显示与N T P有关的信息,如*询周期等。
3 IOS需求
本文的实验使用的是IOS 11 . 2版,这里所讨论的N T P功能大部分可以用IOS 10.0或以后版本进行测试。读者可以到Cisco 网站上查看所拥有的特定I O S版本的相应N T P报告。某些版本的I O S还有专门针对N T P功能的特殊版本。
4 实验:使用时间服务器的Cisco NTP
4.1 所需设备
为完成本实验需要下列设备:
1) 三台C i s c o路由器,其中一台有两个串口;
2) Cisco IOS 10.0或更高;
3) 运行终端仿真程序的P C一台;
4) 两根Cisco DTE/DCE交叉电缆,如果没有可用的交叉电缆,可以将标准的Cisco DTE电缆与标准的Cisco DCE电缆相连接做成一条交叉电缆。
4.2 配置概述
本实验将演示两台C i s c o路由器与作为N T P时间服务器的另外一台路由器进行同步,三台 路由器通过串口进行连接,路由器A和B之间、路由器B和C之间都是通过交叉电缆连接。 路由器B作为D C E,为路由器A和C提供时钟, I P地址的分配如图2所示,运行终端仿 真程序的P C与路由器A的控制端口相连。
路由器A被设为N T P主时钟,路由器B和C都被配置成根据路由器A来同步时钟。 注意N T P的会聚( c o n v e rg e n c e )可能需要长达半个小时,这意味着在修改N T P主系统时钟之后,再过半个小时其它的时 钟才进行同步。这是因为N T P将时钟的改变视为时钟系统的不稳定。NTP需在等待系统稳定后才会进行同步和传递时钟的改变。
C i s c o路由器在加电启动后没有一个有效的日期和时间设置,加电后其时钟被设定为1 9 9 3年3月1日,在N T P生效之前必须为路由器设定一个有效的时钟,设定时钟的命令语法如下:
clock set 时:分:秒日月年
4.3 路由器配置
本例中三台路由器的配置情况如下:
1. 路由器A
2. 路由器B
3. 路由器C
4.4 监测配置
在路由器A会聚和新设定的时钟稳定之后,它将开始传播其时钟设定值。可以用show ntp s t a t u s命令来监测各路由器时钟同步的情况。
在路由器A上执行show ntp status的结果说明它处于同步状态,注意到其参考点显示为“本地”,因为该路由器被设置为主时钟。由于在路由器A中配置有ntp master 1命令项,该路由器将自身定为第1层时钟源。
在路由器B和C上执行show ntp status,其输出结果是完全相同的。从显示信息我们看到这两台路由器都处于同步状态,各自的时钟均属于第2层,这是由于它们都是根据第1层的时钟源进行同步。另外,它们的时钟参考点为1 9 2 . 1 . 1 . 1,这是N T P主时钟路由器A的串口地址。
另外一个有用的命令是show ntp associations,三台路由器上分别运行该命令的执行结果如下所示。该命令显示路由器发送和接收N T P更新信息的频度,以及接收到最后一个更新信息的时间。例如,路由器B在1 4秒钟之前收到最后一个N T P更新信息。
5 实验:使用时间服务器和对等体的Cisco NTP
5.1 所需设备
为完成本实验需要下列设备:
1) 三台C i s c o路由器,其中一台有两个串口;
2) Cisco IOS 10.0或更高;
3) 运行终端仿真程序的P C一台;
4) 两根Cisco DTE/DCE交叉电缆,如果没有可用的交叉电缆,可以将标准的Cisco DTE电缆与标准的Cisco DCE电缆相连接做成一根交叉电缆。
5.2 配置概述
本实验将演示一台C i s c o路由器与作为N T P时间服务器的路由器进行同步,而另外一台路由器则通过与Cisco NTP时间服务器之间对等连接来进行时钟同步。三台路由器通过串口进行连接,路由器A和B之间、路由器B和C之间的连接都使用交叉电缆。路由器B作为D C E,为路由器A和 C提供时钟,IP地址的分配如图3所示,运行终端仿真程序的PC与路由器A的控制端口相连。
路由器A被设置为N T P主时钟,路由器B被配置成通过N T P服务器与路由器A进行时钟同步,路由器C则被配置成路由器B的对等体,与B的时钟同步。由于路由器B已经与路由器A处于同步态,路由器C将一直保持与B的时钟同步。
注意N T P的会聚( c o n v e rg e n c e )可能需要长达半个小时,这意味着在修改N T P主系统时钟之后,再过半个小时其它的时钟才进行同步。这是因为N T P将时钟的改变视为时钟系统的不稳定。NTP需在等待系统稳定后才会进行同步和传递时钟的改变。
C i s c o路由器在加电启动后没有一个有效的日期和时间设置, 加电后其时钟被设定为1 9 9 3年3月1日, 在N T P生效之前必须为路由器设定一个有效的时钟, 设定时钟的命令语法如下:
clock set 时:分:秒日月年
5.3 路由器配置
本实验中三台路由器的配置情况如下(关键N T P命令以加粗字体显示):
1. 路由器A
2. 路由器B
3. 路由器C
5.4 监测配置
在路由器A会聚和新设定的时钟稳定之后,它将开始传播其时钟设定值。可以用show ntps t a t u s命令来监测各路由器时钟同步的情况。
在路由器A上执行show ntp status 的结果说明它处于同步状态,注意到其参考点显示为“本地”,因为该路由器被设置为主时钟。由于在路由器A中配置有ntp master 1命令项,该路由器将自身定为第1层时钟源。
可以看到,在路由器B和C上执行show ntp status,其结果显示是不完全相同的。路由器B与路由器A同步,它被列为第2层时钟源,其参考点为1 9 2 . 1 . 1 . 1(路由器A)。路由器C被列为第3层时钟源,因为它是根据路由器B进行时钟同步的,其参考点为1 9 6 . 1 . 1 . 2。
下面为执行show ntp associations命令所显示的输出结果,该命令说明路由器收/发N T P更新包的频率及收到最后一个更新数据包的时间。以路由器C为例,它在1 0秒前收到最后一个N T P更新包。
 附件(查看下载说明):
在Cisco网络系统中的NTP配置.rar (2008-4-28 22:58,大小:404.27 K)
该附件被下载 8 次
您下载该主题帖内所有附件同时将被扣掉2点无忧币
查看分数政策说明
|
强烈推荐:《2007网络安全精品黄皮书》 |
|
| 诚征版主 | 版主堂 | 意见建议 | 大史记 | 论坛地图