IPS 5.x en hoger: NTP-bij IPS-configuratievoorbeeld

Downloadopties

  • PDF     (190.6 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (170.4 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (190.0 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:22 juli 2011
Document-id:111092

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document biedt een voorbeeldconfiguratie voor het synchroniseren van de IPS-klok (Cisco Secure Inbraakpreventiesysteem) met een netwerktijdserver met Network Time Protocol (NTP). De Cisco-router wordt geconfigureerd als een NTP-server en de IPS-sensor is ingesteld om de NTP-server (Cisco-router) als tijdbron te gebruiken.

Voorwaarden

Vereisten

Zorg ervoor dat u aan deze vereisten voldoet voordat u deze configuratie probeert:

  • De NTP-server moet bereikbaar zijn via de Cisco IPS-sensor voordat u deze NTP-configuratie start.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

  • Cisco 4200 Series IPS-apparaat waarmee softwareversie 7.0 en hoger wordt uitgevoerd

  • Cisco IPS Manager Express (IME) versie 7.0.1 en hoger

    Opmerking: Hoewel IME kan worden gebruikt om sensorapparaten te bewaken die Cisco IPS 5.0 en hoger uitvoeren, worden sommige nieuwe functies en functies die in IME worden geleverd alleen ondersteund op sensoren die Cisco IPS 6.1 of hoger uitvoeren.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Verwante producten

U kunt dit document ook gebruiken met deze hardware- en softwareversies:

  • Cisco 4200 Series IPS-apparaat waarmee softwareversies 6.0 en eerder worden uitgevoerd

  • Cisco IPS Manager Express (IME) versie 6.1.1

Conventies

Raadpleeg de Cisco Technical Tips Convention voor meer informatie over documentconventies.

Configuratie

Een Cisco-router configureren als NTP-server

De sensor vereist een geauthenticeerde verbinding met een NTP server als het de NTP server als tijdbron gaat gebruiken. De sensor ondersteunt alleen het MD5 hash algoritme voor sleutelencryptie. Gebruik de volgende procedure om een Cisco-router te activeren om op te treden als een NTP-server en gebruik de interne kloktijd als de tijdbron.

Voltooi deze stappen om een Cisco-router in te stellen om als een NTP-server op te treden:

  1. Meld u aan bij de router.

  2. Geef de configuratie-modus op.

    router#configure terminal

  3. Maak de belangrijke ID en sleutelwaarde. 

    router(config)#ntp authentication-key key_ID md5 key_value

    De key ID kan een getal tussen 1 en 65535 zijn. De key waarde is tekst (numeriek of teken). Het is versleuteld. Bijvoorbeeld:

    router(config)#ntp authentication-key 12345 md5 123

    Opmerking: de sensor ondersteunt alleen MD5-toetsen. Toetsen kunnen al op de router bestaan. Gebruik de opdracht configuratie tonen om andere toetsen te controleren. U kunt deze waarden voor de vertrouwde sleutel in stap 4 gebruiken.

  4. Wijs de sleutel die u in stap 3 net hebt gemaakt aan als de vertrouwde sleutel (of gebruik een bestaande sleutel).

    router(config)#ntp trusted-key key_ID

    De vertrouwde key ID is hetzelfde nummer als de key ID in stap 3. Bijvoorbeeld:

    router(config)#ntp trusted-key 12345

  5. Specificeer de interface op de router waarmee de sensor zal communiceren. 

    router(config)#ntp source interface_name

    Bijvoorbeeld:

    router(config)#ntp source FastEthernet 1/0

  6. Specificeer het NTP-masterstratumnummer dat aan de sensor moet worden toegewezen zoals hieronder wordt getoond:

    router(config)#ntp master stratum_number

    Bijvoorbeeld:

    router(config)#ntp master 6

    Opmerking: Het NTP-masterstratumnummer identificeert de relatieve positie van de server in de NTP-hiërarchie. U kunt een getal tussen 1 en 15 kiezen. Het is niet belangrijk voor de sensor welk nummer u kiest.

Configureer de sensor met het gebruik van een NTP-tijdbron

Voltooi de stappen in deze sectie om de sensor te configureren om de NTP-tijdbron te gebruiken (Cisco router is de NTP-tijdbron in dit voorbeeld).

De sensor vereist een consistente tijdbron. Het wordt aanbevolen een NTP-server te gebruiken. Gebruik de volgende procedure om de sensor te configureren om de NTP server als tijdbron te gebruiken. U kunt geauthenticeerde of niet-geauthenticeerde NTP gebruiken.

Opmerking: Voor Geautomatiseerde NTP moet u het NTP server IP adres, NTP server key ID en de key value van de NTP server verkrijgen.

Voltooi deze stappen om de sensor te configureren en een NTP-server als tijdbron te gebruiken:

  1. Meld u aan bij de CLI met behulp van een account met Administrator-rechten.

  2. Geef de configuratie-modus op zoals hieronder wordt getoond:

    sensor#configure terminal

  3. Geef de modus voor de serviceshost op. 

    sensor(config)# service host

  4. NTP kan worden ingesteld als Niet-geauthentiseerde en Niet-geauthentiseerde NTP.

    Voltooi deze stappen om niet-geauthentiseerde NTP te configureren:

    1. Voer de NTP-configuratiemodus in.

      sensor(config-hos)#ntp-option enabled-ntp-unauthenticated

    2. Specificeer het IP-adres van de NTP-server.

      sensor(config-hos-ena)#ntp-server ip_address

      In dit voorbeeld is het IP-adres van de NTP-server 10.1.1.1.

      sensor(config-hos-ena)#ntp-server 10.1.1.1

      Dit is de procedure om onecht bevonden NTP te configureren met behulp van Cisco IPS Manager Express:

    1. Kies Configuration > Corp-IPS > Sensor Setup > Time. Klik vervolgens op de radioknop naast Niet-geauthenticeerde NTP nadat u het IP-adres van de NTP-server hebt opgegeven zoals in de screenshot wordt weergegeven.

    2. Klik op Toepassen.

      IPS-ntp-config-01.gif

      Dit voltooit de niet-echt bevonden NTP-configuratie.

      Voltooi deze stappen om geauthentiseerde NTP te configureren:

    1. Voer de NTP-configuratiemodus in.

      sensor(config-hos)#ntp-option enable

    2. Specificeer het NTP server IP adres en key ID. De key ID is een nummer tussen 1 en 65535. Dit is de key ID die u al op de NTP-server hebt ingesteld. 

      sensor(config-hos-ena)#ntp-servers ip_address key-id key_ID

      In dit voorbeeld is het IP-adres van de NTP-server 10.1.1.1.

      sensor(config-hos-ena)#ntp-server 10.1.1.1 key-id 12345

    3. Specificeer de hoofdwaarde NTP server.

      sensor(config-hos-ena)#ntp-keys key_ID md5-key key_value

      De sleutelwaarde is tekst (numeriek of teken). Dit is de sleutelwaarde die u al op de NTP server hebt ingesteld. Bijvoorbeeld:

      sensor(config-hos-ena)#ntp-keys 12345 md5-key 123

      Dit is de procedure om geverifieerde NTP te configureren met behulp van Cisco IPS Manager Express:

    1. Kies Configuration > Corp-IPS > Sensor Setup > Time. Klik vervolgens op de radioknop naast Geautomatiseerde NTP nadat u het IP-adres van de NTP-server hebt opgegeven zoals in de screenshot wordt weergegeven.

    2. Geef de toets en de toets ID op die gelijk moeten zijn aan de naam die op de NTP-server staat.

      In dit voorbeeld is de Key 123 en de Key ID is 12345.

    3. Klik op Toepassen.

      IPS-ntp-config-02.gif

      Dit voltooit de Authenticated NTP-configuratie.

  5. Sluit de NTP configuratie modus.

    sensor(config-hos-ena)# exit

sensor(config-hos)# exit

Apply Changes:?[yes]

  6. Druk op ENTER om de wijzigingen toe te passen of nee in te voeren om ze weg te gooien.

    Dit voltooit de configuratie taak.

Verifiëren

Deze sectie verschaft informatie die u kunt gebruiken om te bevestigen dat uw configuratie correct werkt.

Controleer de geverificeerde NTP-instellingen. Dit zorgt ervoor dat de gecertificeerde NTP-configuratie correct is uitgevoerd.

sensor(config-hos-ena)#show settings

   enabled

   -----------------------------------------------

      ntp-keys (min: 1, max: 1, current: 1)

      -----------------------------------------------

         key-id: 12345

         -----------------------------------------------

            md5-key: 123

         -----------------------------------------------

      -----------------------------------------------

      ntp-servers (min: 1, max: 1, current: 1)

      -----------------------------------------------

         ip-address: 10.1.1.1

         key-id: 12345

      -----------------------------------------------

-----------------------------------------------

sensor(config-hos-ena)#

Om de inhoud van de configuratie in de huidige submodus weer te geven, gebruikt u de opdracht instellingen voor weergave in de servicecontracten. Hiermee wordt geverifieerd dat de niet-geauthentiseerde NTP-configuratie correct is uitgevoerd.

sensor(config-hos-ena)#show settings

   enabled-ntp-unauthenticated

   -----------------------------------------------

      ntp-server: 10.1.1.1

   -----------------------------------------------

sensor(config-hos-ena)#

Gebruik de opdracht Kloktijd in EXEC-modus om de systeemkloktijd weer te geven. Dit voorbeeld toont NTP gevormd en gesynchroniseerd: 

sensor#show clock detail

11:45:02 CST Tues Jul 20 2011

Time source is NTP

sensor#

Problemen oplossen

Er is momenteel geen specifieke troubleshooting-informatie beschikbaar voor deze configuratie.

Gerelateerde informatie

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten