NTP共有3种版本:NTP v1/v2/v3默认NTPv3
NTP两种服务模式包含3种工作模式:
一。 基于轮询的配置1. server/client 模式 :服务器和客户模式中,客户端会轮询配置中的所有NTP服务器,然后从中选中一个优先级最高的服务器来同步时钟。
为了避免轮询机制的定期轮询造成的路由器效率下降,所以引用层次的概念来减小定期轮询的范围,共15个层次,Cisco不支持第一层时钟服务。底层的会向高层的同步时间,并且在服务器和客户模式中,底层的路由器只能向高于自己一层的时间源同步数据。
2. Symmetric Active/Passive 对称模式 :对称模式中路由器轮询已配置的时间服务器以获得当前时间,同时发送时间到时间服务器,该模式通常用于同一层次的NTP服务器组的自身。
二。基于广播的配置
Broadcast广播模式:
在广播客户端模式,客户端主动接听来自NTP服务器广播。所以很明显,要使这种模式工作,客户端和服务器端必须在同一子网。一般用于大型2层网络中特别是带宽、内存、CPU等资源受限制的网络。
轮询机制的NTP
ntp server ip_address [version number] [key keyid] [source interface] [prefer]
ntp peer ip_address [version number] [key keyid] [source interface] [prefer]
Version:NTP版本号1 / 2 / 3默认3 NTP v3使用UDP 123
Source interface:指定NTP同步时钟的源地址如不指定源将以来自源的物理口地址
Perfer : 如果对等服务器之间存在竞争,那么关键字Prefer将强迫本地路由器提供时间同步如果路由器将和另一个NTP时钟源同步,则建立一个服务器连接 如果路由器不但与另一个设备同步,并且允许其他设备和此路由器同步,应配置对等体
对路由器NTP服务的访问控制:ntp access-group {query-only | serve-only | serve | peer} access-list-number
serve-only:只允许时间请求 允许访问控制列表上的ip地址请求时间。路由器不向远程系统同步时间serve:允许请求和查询但是不和远程对等服务器保持同步 允许时间请求和控制查询,路由器不向远程系统同步时间query-only:只允许查询控制 允许发出NTP控制查询。控制查询用在监视NTP进程的SNMP管理站peer: 允许时间请求和控制查询,并允许路由器从远程系统同步时间
NTP安全机制:
1. 使用访问控制列表来限制对路由器的NTP资源的访问。
2. 使用带有MD5的散列函数的认证来限制相互信任的设备间的通信。
NTP的认证:
NTP支持认证,用于验证从其他NTP设备接收到的NTP消息。MD5用于生成加密校验和(使用两侧均知道的密钥),被附加在NTP消息中。
Router(config)# ntp authenticate
启动NTP认证
Router(config)# ntp authentication-key number md5 value
定义密钥的引用号码和认证密文(必须在远程NTP设备上配置同样的加密密文)
可以定义多个KEY,并且每一个KEY均会有一个编号、认证类型、密文。正常情况下认证类型永远是MD5
Router(config)# ntp trusted-key key-number
定义认证是信任那个key.
配置实例:
Make sure that the clock of R2 gets synchronized to the clock of R1,meeting the requirements:R2 has a stratum of 1.Synchronization is done as long as there is an active path between the routers.Use the Loopback 0 as the source interface.Updates are authenticated.
R1:
ntp master 2
ntp source loopback 0
ntp authenticate
ntp authentication-key 1 md5 cisco
ntp trusted-key 1
R2:
ntp server YY.YY.1.1 key 1 source loopback 0
ntp authenticate
ntp authentication-key 1 md5 cisco
ntp trusted-key 1
Show ntp Status
.- 上一篇:RIPv1和RIPv2路由协议
- 下一篇:没有了