このドキュメントでは、ネットワーク タイム プロトコル(NTP)を使用して、Cisco Secure Intrusion Prevention System(IPS)のクロックをネットワーク タイム サーバと同期させるための設定例を示します。 Ciscoルータは NTP サーバで設定され、時刻源として NTP サーバ(Ciscoルータ)を使用するために IPS センサーは設定されます。
この設定を行う前に、次の要件が満たされていることを確認します。
NTP サーバはこの NTP 設定を開始する前に Cisco IPS センサーから到達可能である必要があります。
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。
Cisco 4200 シリーズ ソフトウェア バージョン 7.0 およびそれ以降を実行する IPS デバイス
Cisco IPS Manager Express (IME)バージョン 7.0.1 および それ 以降
注: IME では、Cisco IPS 5.0 およびそれ以降で実行されているセンサー デバイスの監視に使用でき、IME で提供される新しい機能の一部は、Cisco IPS 6.1 またはそれ以降で実行されているセンサーでのみサポートされます。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。
このドキュメントは、次のバージョンのハードウェアとソフトウェアにも適用できます。
Cisco 4200 シリーズ ソフトウェア バージョン 6.0 およびそれ以前を実行する IPS デバイス
Cisco IPS Manager Express (IME)バージョン 6.1.1
ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。
センサーは時刻源として NTP サーバを使用しようとする場合 NTP サーバの認証された接続を必要とします。 センサーは鍵暗号化のための MD5 ハッシュ アルゴリズムだけサポートします。 Ciscoルータを NTP サーバとして機能し、時刻源として内部クロックを使用するためにアクティブにするのに次のプロシージャを使用して下さい。
Ciscoルータを NTP サーバとして機能するために設定するようにこれらのステップを完了して下さい:
ルータへのログイン。
コンフィギュレーションモードを開始して下さい。
router#configure terminal
キー ID およびキー値を作成して下さい。
router(config)#ntp authentication-key key_ID md5 key_value
キー ID は 1 と 65535 間の数である場合もあります。 キー値はテキストです(数字または文字)。 それは暗号化された以降です。 次に、例を示します。
router(config)#ntp authentication-key 12345 md5 123
注: センサーは MD5 キーだけをサポートします。 キーはルータに既にあるかもしれません。 他のキーがあるように確認する show running configuration コマンドを使用して下さい。 ステップ 4.で信頼できる鍵のためにそれらの値を使用できます。
信頼できる鍵としてステップ 3 でちょうど作成したキーを指定して下さい(または既存のキーを使用して下さい)。
router(config)#ntp trusted-key key_ID
信頼できる鍵 ID はステップ 3.のキー ID とたとえば同じ数です:
router(config)#ntp trusted-key 12345
センサーが通信するルータのインターフェイスを規定 して下さい。
router(config)#ntp source interface_name
次に、例を示します。
router(config)#ntp source FastEthernet 1/0
ここに示されているようにセンサーに割り当てられるべき NTP マスター ストラタム番号を規定 して下さい:
router(config)#ntp master stratum_number
次に、例を示します。
router(config)#ntp master 6
注: NTP マスター ストラタム番号は NTP 階層のサーバの相対的な位置を識別します。 1 と 15 間の数を選択できます。 それはセンサーにとって重要ではないです選択する番号を付ける。
センサーを NTP 時刻源を使用するために設定するためにこのセクションのステップを完了して下さい(Ciscoルータはこの例の NTP 時刻源です)。
センサーは一貫した時刻源を必要とします。 NTP サーバを使用するために推奨します。 センサーを時刻源として NTP サーバを使用するために設定するのに次のプロシージャを使用して下さい。 認証されるか、または非認証 NTP を使用できます。
注: 認証された NTP に関しては、NTP サーバのIPアドレス、NTP サーバキー ID、および NTP サーバからのキー値を得て下さい。
センサーを時刻源として NTP サーバを使用するために設定するためにこれらのステップを完了して下さい:
アドミニストレーター特権のアカウントを使用して CLI へのログイン。
ここに示されているようにコンフィギュレーションモードを開始して下さい:
sensor#configure terminal
サービス ホスト モードを開始して下さい。
sensor(config)# service host
NTP は認証された非認証 NTP で設定することができます。
非認証 NTP を設定するためにこれらのステップを完了して下さい:
NTP コンフィギュレーションモードを開始して下さい。
sensor(config-hos)#ntp-option enabled-ntp-unauthenticated
NTP サーバのIPアドレスを規定 して下さい。
sensor(config-hos-ena)#ntp-server ip_address
この例で NTP サーバのIPアドレスは 10.1.1.1 です。
sensor(config-hos-ena)#ntp-server 10.1.1.1
これは Cisco IPS Manager Express を使用して非認証 NTP を設定するプロシージャです:
> 設定される Corp IPS > センサー > 時間『Configuration』 を選択 して下さい。 それからスクリーン ショットに示すように NTP サーバの IP アドレスを提供した後、非認証 NTP の隣でオプション ボタンをクリックして下さい。
[Apply] をクリックします。
これは非認証 NTP 設定を完了します。
認証された NTP を設定するためにこれらのステップを完了して下さい:
NTP コンフィギュレーションモードを開始して下さい。
sensor(config-hos)#ntp-option enable
NTP サーバのIPアドレスを規定 し、ID をキー入力して下さい。 キー ID は 1 と 65535 間の数です。 これは NTP サーバでそのキー ID 既に設定しましたです。
sensor(config-hos-ena)#ntp-servers ip_address key-id key_ID
この例で NTP サーバのIPアドレスは 10.1.1.1 です。
sensor(config-hos-ena)#ntp-server 10.1.1.1 key-id 12345
キー値 NTP サーバを規定 して下さい。
sensor(config-hos-ena)#ntp-keys key_ID md5-key key_value
キー値はテキストです(数字または文字)。 これは NTP サーバでそのキー値既に設定しましたです。 次に、例を示します。
sensor(config-hos-ena)#ntp-keys 12345 md5-key 123
これは Cisco IPS Manager Express を使用して認証された NTP を設定するプロシージャです:
> 設定される Corp IPS > センサー > 時間『Configuration』 を選択 して下さい。 それからスクリーン ショットに示すように NTP サーバの IP アドレスを提供した後、認証された NTP の隣でオプション ボタンをクリックして下さい。
NTP サーバに言及されているように同じである必要があるキーおよびキー ID を提供します。
この例でキーは 123 であり、キー ID は 12345 です。
[Apply] をクリックします。
これは認証された NTP 設定を完了します。
終了 NTP コンフィギュレーションモード。
sensor(config-hos-ena)# exit sensor(config-hos)# exit Apply Changes:?[yes]
変更を加えるか、またはそれらを廃棄するために入るためにいいえ『Enter』 を押さない で下さい。
これで設定タスクが完了しました。
このセクションでは、設定が正常に動作しているかどうかを確認する際に役立つ情報を示しています。
認証された NTP 設定を確認して下さい。 これは認証された NTP 設定が正しくされることを確かめます。
sensor(config-hos-ena)#show settings enabled ----------------------------------------------- ntp-keys (min: 1, max: 1, current: 1) ----------------------------------------------- key-id: 12345 ----------------------------------------------- md5-key: 123 ----------------------------------------------- ----------------------------------------------- ntp-servers (min: 1, max: 1, current: 1) ----------------------------------------------- ip-address: 10.1.1.1 key-id: 12345 ----------------------------------------------- ----------------------------------------------- sensor(config-hos-ena)#
現在のサブモードに含まれている設定のコンテンツを表示するためにあらゆるサービス コマンド モードで提示設定コマンドを使用して下さい。 これは非認証 NTP 設定が正しくされることを確認します。
sensor(config-hos-ena)#show settings enabled-ntp-unauthenticated ----------------------------------------------- ntp-server: 10.1.1.1 ----------------------------------------------- sensor(config-hos-ena)#
システム クロックを表示するために、示されているように Execモードで show clock コマンドを使用して下さい。 この例は設定され、同期される NTP を示したものです:
sensor#show clock detail 11:45:02 CST Tues Jul 20 2011 Time source is NTP sensor#
現在のところ、この設定に関する特定のトラブルシューティング情報はありません。