Cisco сервер синхронизации времени

Cisco сервер синхронизации времени

Надежный системный администратор для малого бизнеса

ежедневно, с 9:30 до 20:00 8 (499) 653-83-80

Ветрикс Надежный системный администратор для малого бизнеса

NTP на Примере конфигурации контроллеров беспроводных LAN — Часть 1

Введение

Этот документ объясняет, как настроить контроллеры беспроводной локальной сети (WLC) для того, чтобы синхронизировать дату и времю с сервером Протокола сетевого времени (NTP). Если в ближайшее время вы планируете провести модернизацию компьютерного парка, то качественный ИТ-аудит вам поможет.

Предварительные условия

Требования

Рассматриваемая процедура настройки предполагает выполнение следующих условий:

· Базовые знания о конфигурации облегченных точек доступа (LAP) и WLC Cisco

· Базовые знания о NTP

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

· WLC Cisco 4400, который работает под управлением ПО версии 7.0.116.0

· LAP Серии Cisco 1230AG

· Series маршрутизатор Cisco 2800, который выполняет Выпуск ПО Cisco IOS® 12.4 (11) T

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования. Если вы не знаете как заблокировать сайт, то мы вам поможем.

Условные обозначения

Управление системной датой и время на контроллере беспроводных LAN

На WLC системная дата и время может быть вручную настроена от WLC или настроена для получения даты и времи из сервера NTP.

Системная дата и время может быть вручную настроена, используют мастера конфигурации интерфейса командой строки или GUI/CLI WLC. Этот документ предоставляет пример конфигурации для того, чтобы синхронизировать системную дату WLC и время через сервер NTP.

NTP является Протокол Интернета, используемый для синхронизации часов компьютеров к некоторой ссылке времени. RFC 1305 предоставляет подробные сведения на реализации v3 NTP. Сеть NTP обычно получает свое время от надежного источника времени, такого как радиочасы или атомные часы, подключенные к серверу времени. NTP тогда распределяет на сей раз по сети. Клиент NTP делает транзакцию с ее сервером по интервалу опроса (с 64 до 1024 секунд), который динамически изменяется в течение долгого времени в зависимости от состояний сети между сервером NTP и клиентом. Когда маршрутизатор связывается с плохим сервером NTP (например, сервером NTP с большой дисперсией), другая ситуация происходит. Маршрутизатор также увеличивает интервал опроса. Не больше, чем одна транзакция в минуту NTP необходима для синхронизации двух машин. Не возможно отрегулировать интервал опроса NTP на маршрутизаторе. По вопросам обслуживания компьютеров вы сможете обратиться к нам.

NTP использует понятие страты для описания, сколько NTP скачкообразно перемещает далеко, машина от надежного источника времени. Например, страта 1 сервер времени имеет радиочасы или атомные часы, непосредственно подключенные к нему. Это тогда передает свое время страте 2 сервера времени через NTP и т.д.

Для получения дополнительной информации по оптимальным методам для развертывания NTP обратитесь к Протоколу сетевого времени: Рекомендации и Описание технологических решений пример в этом документе использует маршрутизатор Cisco 2800 как сервер NTP. WLC настроен для синхронизации его даты и времи с этим сервером NTP.

Настройка

Настройка series маршрутизатор Cisco 2800 как сервер NTP

Настройка маршрутизатор как авторитетный сервер NTP

Используйте эту команду в режиме глобальной конфигурации, если вы хотите, чтобы система была авторитетным сервером NTP, даже если система "not synchronized" внешнему источнику времени:

Аутентификация NTP Настройки

Если вы хотите подтвердить подлинность ассоциаций с другими системами для целей обеспечения безопасности, используйте команды, которые придерживаются. Первая команда активирует опцию Аутентификации NTP. Вторая команда определяет каждый из ключей проверки подлинности. Каждый ключ имеет ключевое количество, тип, и значение. В настоящее время единственный ключевой поддерживаемый тип является md5. В-третьих, список ключей проверки подлинности, которым "доверяют", определен. Если ключу будут доверять, то эта система будет готова синхронизироваться с системой, которая использует этот ключ в ее пакетах NTP. Чтобы настроить Аутентификацию NTP, используйте эти команды в режиме глобальной конфигурации:

Вот конфигурация Сервера NTP в качестве примера на 2800 Series маршрутизаторах. Маршрутизатором является NTP master, что означает действия маршрутизатора как авторитетный сервер NTP.

Замена больного источника NTP-сервера и повторная синхронизация (с внутренним временем в настоящее время на 2 минуты позже)

Один из внешних серверов NTP (основной — в настоящее время), который мы используем в качестве источника, похоже, не отвечает на вызовы NTP. К сожалению, на нашем основном маршрутизаторе (Cisco 6509) функциональность NTP не переключилась на дополнительный внешний NTP-сервер, как ожидалось. В результате наш основной маршрутизатор, который является главным внутренним источником NTP, опаздывает на 2 минуты.

Я планирую исправить проблему с внешним маршрутизатором, сделав внешний источник NTP рабочим. Мне интересно, насколько 2-минутные изменения повлияют на моих пользователей и сервисы? Специально с тех пор мы в значительной степени полагаемся на аутентификацию на основе сертификатов.

Мы магазин Windows / Cisco.

Внутренняя настройка NTP:

[Базовый маршрутизатор 1 / Cisco 6509]:
наблюдение за двумя внешними NTP-серверами (в которых основной не отвечает на вызовы NTP)

[Core Router 2]:
синхронизация с Core router 1 (основной), рабочий внешний маршрутизатор (дополнительный)

[Другие сетевые устройства Cisco]:
синхронизация с основным маршрутизатором 1 (основным), основным маршрутизатором 2 (дополнительным)

[Контроллер (ы) домена]:
синхронизация с основным маршрутизатором 1

[Все клиенты / серверы Windows]:
синхронизация с контроллерами домена

Если исключительно точное хронометраж не является критически важным для вас, для ваших пользователей не должно быть заметного эффекта, за исключением того, что их часы меняются на 2 минуты.

Возможное исключение — если они объявят ваш NTP-сервер «безумным» в результате большого изменения (что потребует от вас перезапустить службу NTP в уязвимых системах, чтобы заставить их синхронизировать часы — хотя вы можете сделать это без отключение).

Пока вы исправляете это, вот несколько других указателей:

Вы должны настроить свои системы, которые смотрят на внешние источники NTP, для просмотра нескольких (4-5) серверов из проекта общего пула NTP — предпочтительно географически соответствующих.
Наличие большего количества серверов NTP позволяет алгоритму выбора игнорировать те, которые ломаются / сходят с ума и сохраняют ваши часы точными.

В конфигурации, подобной вашей, я бы указывал Core Router 1 и Core Router 2 на внешние источники синхронизации (а не друг на друга).
Это дает вам два независимо синхронизированных тактовых генератора, которые должны быть в пределах нескольких мс друг от друга, но если один из ваших маршрутизаторов сходит с ума, он не может повредить другому.

В такой конфигурации, как ваша, я бы указывал контроллеры домена на ОБОИХ основных маршрутизаторах (опять же для защиты от одного отказа).
Если вы хотите защитить себя от сумасшедших часов, вам следует добавить третий авторитетный NTP-сервер (или дважды перечислить один из ваших маршрутизаторов и надеяться, что он не сходит с ума…)

Настройки домена по умолчанию для Windows позволяют отключить время +/- 300 секунд, прежде чем перестает работать аутентификация, так что все будет в порядке. Вот довольно исчерпывающая статья на эту тему , в которой даже упоминается, как изменить допустимое отклонение от времени с помощью GPO на уровне домена. Это в Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Account Policies -> Kerberos Policy -> Maximum tolerance for computer clock synchronization .

Тем не менее, ваш авторитетный источник времени (обычно это контроллер домена, выполняющий роль эмулятора PDC в домене Windows) синхронизируется с внешним ntp источником, например pool.ntp.org . Больше информации от Technet, здесь .

И в ответ на другой ответ, это не требует простоя. Просто укажите свой авторитетный источник времени, и остальные компьютеры, присоединенные к домену, также синхронизируются.

РЕДАКТИРОВАТЬ: поскольку @ voretaq7 упомянул об этом, я должен отметить, что у нас только одна система видит внешний источник времени, наш эмулятор PDC. Все устройства, включая сетевое устройство, синхронизируются с ним. Мы считаем, что это лучшее решение, поскольку сетевой механизм не будет отклонять проверку подлинности из-за перекоса времени, но присоединенные к домену компьютеры, использующие Kerberos (что для нас все), будут. Таким образом, в этом отношении не особенно важно иметь точное время на нашем сетевом оборудовании, но это на наших системах Windows, вдвойне потому, что мы также запускаем наше программное обеспечение для учета рабочего времени для почасовых сотрудников на сервере Windows.

Настройка NTP сервера в CISCO ­ Дневник ­ Максим Боголепов

Узнать текущее время, установленное на вашем маршрутизаторе cisco можно командой show clock :

Следующими двумя командами мы установим свою временную зону (для Московского часового пояса – MSK , со смещением 4 от UTC ); так же настроим периодическую синхронизацию календаря и времени clock, которое генерирует кварцевый резонатор, пока устройство cisco включено:

Теперь вы можете вручную настроить (в режиме enable) время с помощью команды clock, имеющей формат:

clock set hh:mm:ss день месяц год

На всякий случай приведу команду, выполняющую автоматический периодический перевод времени на летнее и обратно (с нашим правительством все возможно!):

Теперь – ряд команд, позволяющих добавлять текущее время к событиям, записываемых в логи и настройка самого логирования:

Настройте оба сетевых интерфейса. Пусть FastEthernet0/0 – смотрит в интернет (на котором мы отключили работу NTP командой ntp disable ), FastEthernet0/1 – обслуживает локальную сеть 192.168.0.0/24:

Перейдем непосредственно к настройке NTP сервера. В первую очередь вам необходимо определиться с ntp-серверами в глобальной сети интернет, с которыми вы будете синхронизировать своей время. Я пользуюсь пулом ntp-серверов от ФГУП «Всероссийский научно-исследовательский институт физико-технических и радиотехнических измерений» является одним из ведущих национальных метрологических институтов России (данные ip актуальны на 13.11.2013):

1. ntp1.vniiftri.ru – 89.109.251.21
2. ntp2.vniiftri.ru – 89.109.251.22
3. ntp3.vniiftri.ru – 89.109.251.23
4. ntp4.vniiftri.ru – 89.109.251.24

А еще лучше воспользоваться национальными пулами ntp-серверов:

1. ru.pool.ntp.org
2. 0.ru.pool.ntp.org
3. 1.ru.pool.ntp.org
4. 2.ru.pool.ntp.org
5. 3.ru.pool.ntp.org

Только существует одно НО: если вы пропишете их в таком явном виде (при включенном ip domain-lookup на вашем устройстве) таким вот образом:

при перезагрузке вашей cisco данные настройки пропадут. Проще сделать пинг и прописать ip в явном виде.

Теперь следующими командами настроим:

1. логирование событий NTP сервера;
2. для использования конкретного IP адреса в пакетах ntp укажем внутренний интерфейс;
3. обозначим, что наш NTP сервер принадлежит ко второму слою:

4. настроим периодическое обновление календаря с использованием NTP ;
5. определим сервера NTP в интернете (их может быть несколько), с которыми будет производиться синхронизация времени:
— 89.109.251.21 будет основным (prefer);
6. определим стандартный access-list со списком вышестоящих серверов, которым мы доверяем;
7. определим стандартный access-list со списком подчиненных нашему NTP серверу компьютеров;
8. настроим список доверенных клиентов, которые будет синхронизироваться с нашим NTP сервером;
9. настроим список доверенных серверов.

Вот и все. Проверить работу нашего NTP сервера можно следующими командами:

1. show ntp status – покажет статус нашего NTP сервера (примерный вывод команды):

2. show ntp associations – показать состояние синхронизации с вышестоящими серверами (примерный вывод команды):

3. show ntp associations detail – более детальная информация о собственной синхронизации (примерный вывод команды):

4. show ip access-lists – просмотр использования наших списков доступа:

Синхронизация времени на маршрутизаторах Cisco по NTP [08.03.2007]

По умолчанию, если параметр clock не установлен, при каждом включении маршрутизатора время начинается с 00 часов 00 минут 00 секунд понедельника 1 марта 1993 года. Часы хранятся в формате UTC (Coordinated Universal Time), который похож на привычный нам формат GMT (Greenwich Mean Time) — среднее время по Гринвичу. Изменение даты и времени производится из привилегированного режима следующим образом:

clock set hh:mm:cc день месяц год

hh:mm:cc день месяц год — должны соответствовать европейскому формату (для месяцев), например:

clock set 3:00:00 18 Jan 2007

Посмотрим на результат show clock :

3:00:06.245 UTC Thu Jan 18 2007

Для задания даты и времени при помощи команды clock существует два параметра: timezone и summer-time . Их синтаксис:

clock timezone (имя временной зоны или часовой пояс) [смещение]
clock summer-time (имя временной зоны или часовой пояс) recurring (дата и время начала, дата и время конца перехода на летнее время)

Команда clock timezone используется для задания смещения относительно гринвичского меридиана текущего времени для маршрутизатора. Нужно задать любое имя временной зоны или часового пояса (к примеру, Moscow ) и смещение в часах от -23 до 23 (в этом примере будет 3 ). Команду clock summer-time используют для задания начальной и конечной даты перехода на летнее время. Тогда для Москвы конфигурация выглядит так:

clock timezone Moscow 3
clock summer-time Moscow recurring last Sun Mar 2:00 last Sun Oct 2:00

То есть дата перехода на летнее время – последнее воскресенье марта, а на зимнее – последнее воскресенье октября. Теперь время на маршрутизаторе Cisco отобразится в формате GMT:

04:11:24.158 Moscow Mon Mar 1 1993

Заданные вручную дата и время сохраняют свое значение только на время непрерывной работы маршрутизатора. После его выключения или перезагрузки установленное ранее время сбрасывается, хотя в некоторых маршрутизаторах и серверах доступа (как и в других изделиях Cisco) есть энергонезависимая память для часов, как у BIOS персонального компьютера. В момент загрузки маршрутизатора время из календаря считывается в clock и далее clock сам ведет часы. При продолжительной работе время clock и время в календаре маршрутизатора могут незначительно отличаться друг от друга. Для устранения этого расхождения у команды clock существует параметр calendar-valid для периодической синхронизации календаря и времени clock, которое генерирует кварцевый резонатор:

Для того, чтобы временя в пределах локальной или региональной сети было одинаковым, используется протокол NTP (Network Time Protocol). Принцип работы этого протокола в том, что в сети задается один или несколько мастеров времени, а все остальные находящиеся в этой сети маршрутизаторы при включении устанавливают свой clock по данным мастера и в дальнейшем периодически синхронизируют с ним свое точное время. На сервере времени, в качестве которого обычно используется как раз маршрутизатор с энергонезависимой памятью календаря необходимо ввести команду:

На других маршрутизаторах Cisco достаточно прописать указание на NTP-сервер:

ntp server 192.168.0.100

Если указывается несколько NTP-серверов, один из них можно указать как более предпочтительный:

ntp server 192.168.0.100 prefer
ntp server 191.168.0.200

Если все настроено правильно, то по команде show ntp status можно получить информацию, включающую адрес мастер-сервера, с которым синхронизировано время по протоколу NTP, текущие дату и время, а также расхождение времени с сервером.

Clock is synchronized, stratum 9, reference is 192.168.0.100
nominal freq is 250.0000 Hz, actual freq is 250.0000 Hz, precision is 2**24
reference time is ACD65C4E.12D6BFE4 (12:30:25.000 Moscow Thu Jan 18 2007)
clock offset is -0.2051 msec, root delay is 1.66 msec
root dispersion is 0.67 msec, peer dispersion is 0.21 msec

Еще одна полезная команда — это show ntp associations , из результата которой мы видим прописанные на данном маршрутизаторе NTP-сервера, какой из них является master, кто от кого получает время, к какому слою принадлежит маршрутизатор ( stratum — чем меньше значение, тем точнее его время) и некоторые другие параметры.

address ref clock st when poll reach delay offset disp
*

192.168.0.100 212.45.32.175 8 25 64 377 1.7 -1.04 0.1
+

192.168.0.200 192.168.0.100 9 34 64 377 1.8 -1.62 0.1
* master (synced), # master (unsynced), + selected, — candidate,

По умолчанию на маршрутизаторах Cisco включены timestamps debug и timestamps log , которые отображают время события (заносимого в журнал или отображаемого в debug-режиме) в формате, привязанном к правильному текущему времени – то есть заданному при настройке. Если они сервисы отключены, то включить их можно следующими командами:

service timestamps debug datetime localtime
service timestamps log datetime localtime

Постоянный адрес страницы: http://www.hypercomp.ru/articles/configuring-clock-and-ntp-on-cisco-router/