本文档提供使用网络时间协议(NTP)将思科安全入侵防御系统(IPS)时钟与网络时间服务器同步的示例配置。Cisco路由器配置为NTP服务器,IPS传感器配置为NTP服务器(Cisco路由器)用作时间源。
尝试进行此配置之前,请确保满足以下要求:
在启动此NTP配置之前,必须可以从Cisco IPS传感器访问NTP服务器。
本文档中的信息基于以下软件和硬件版本:
运行软件版本7.0及更高版本的Cisco 4200系列IPS设备
Cisco IPS Manager Express (IME) 7.0.1版及更高版本
注意:虽然IME可用于监控运行Cisco IPS 5.0及更高版本的传感器设备,但只有运行Cisco IPS 6.1或更高版本的传感器才支持IME中提供的某些新特性和功能。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
此文档还可用于以下硬件和软件版本:
运行软件版本6.0及更低版本的Cisco 4200系列IPS设备
Cisco IPS Manager Express (IME)版本6.1.1
有关文档约定的更多信息,请参考 Cisco 技术提示约定。
如果传感器要使用NTP服务器作为时间源,则需要与NTP服务器建立经过身份验证的连接。传感器仅支持MD5散列算法用于密钥加密。使用以下步骤激活Cisco路由器,使其充当NTP服务器,并使用其内部时钟作为时间源。
完成以下步骤,将思科路由器设置为NTP服务器:
登录路由器。
进入配置模式。
router#configure terminal
创建密钥ID和密钥值。
router(config)#ntp authentication-key key_ID md5 key_value
密钥ID可以是介于1和65535之间的数字。键值为文本(数字或字符)。稍后会进行加密。例如:
router(config)#ntp authentication-key 12345 md5 123
注意:传感器仅支持MD5密钥。路由器上可能已存在密钥。使用show running配置命令检查其他密钥。您可以在步骤4中将这些值用于受信任密钥。
将您在第3步中刚刚创建的密钥指定为受信任密钥(或使用现有密钥)。
router(config)#ntp trusted-key key_ID
受信任密钥ID与步骤3中的密钥ID相同。例如:
router(config)#ntp trusted-key 12345
指定路由器上传感器将与其通信的接口。
router(config)#ntp source interface_name
例如:
router(config)#ntp source FastEthernet 1/0
指定要分配给传感器的NTP主层数,如下所示:
router(config)#ntp master stratum_number
例如:
router(config)#ntp master 6
注意:NTP主层编号标识服务器在NTP层次结构中的相对位置。您可以选择一个介于1和15之间的数字。您选择的编号对传感器来说并不重要。
完成本节中的步骤,将传感器配置为使用NTP时间源(在本例中,Cisco路由器是NTP时间源)。
传感器需要一致的时间源。建议使用NTP服务器。使用以下步骤配置传感器,以便使用NTP服务器作为其时间源。您可以使用经过身份验证或未经过身份验证的NTP。
注意:对于经过身份验证的NTP,必须从NTP服务器获取NTP服务器IP地址、NTP服务器密钥ID和密钥值。
完成以下步骤以将传感器配置为使用NTP服务器作为其时间源:
使用具有管理员权限的帐户登录 CLI。
按如下所示进入配置模式:
sensor#configure terminal
进入服务主机模式。
sensor(config)# service host
NTP可以配置为已验证和未经验证的NTP。
要配置未经身份验证的NTP,请完成以下步骤:
进入NTP配置模式。
sensor(config-hos)#ntp-option enabled-ntp-unauthenticated
指定NTP服务器IP地址。
sensor(config-hos-ena)#ntp-server ip_address
在本示例中,NTP服务器IP地址为10.1.1.1。
sensor(config-hos-ena)#ntp-server 10.1.1.1
以下是使用Cisco IPS Manager Express配置未经身份验证的NTP的过程:
选择Configuration > Corp-IPS > Sensor Setup > Time。提供NTP服务器的IP地址后,单击Unauthenticated NTP旁边的单选按钮(如屏幕截图所示)。
单击 Apply。
这将完成未经身份验证的NTP配置。
要配置经过身份验证的NTP,请完成以下步骤:
进入NTP配置模式。
sensor(config-hos)#ntp-option enable
指定NTP服务器IP地址和密钥ID。密钥ID是一个介于1和65535之间的数字。这是您在NTP服务器上设置的密钥ID。
sensor(config-hos-ena)#ntp-servers ip_address key-id key_ID
在本示例中,NTP服务器IP地址为10.1.1.1。
sensor(config-hos-ena)#ntp-server 10.1.1.1 key-id 12345
指定密钥值NTP服务器。
sensor(config-hos-ena)#ntp-keys key_ID md5-key key_value
键值为文本(数字或字符)。这是已在NTP服务器上设置的密钥值。例如:
sensor(config-hos-ena)#ntp-keys 12345 md5-key 123
以下是使用Cisco IPS Manager Express配置经过身份验证的NTP的过程:
选择Configuration > Corp-IPS > Sensor Setup > Time。然后,在您提供NTP服务器的IP地址后,单击Authenticated NTP旁边的单选按钮(如屏幕截图所示)。
提供必须与NTP服务器中提到的密钥和密钥ID相同的密钥和密钥ID。
在本示例中,密钥为123,密钥ID为12345。
单击 Apply。
这将完成经过身份验证的NTP配置。
退出NTP配置模式
sensor(config-hos-ena)# exit sensor(config-hos)# exit Apply Changes:?[yes]
按Enter以应用更改或输入no以放弃更改。
配置任务到此结束。
本部分提供的信息可帮助您确认您的配置是否可正常运行。
验证经过身份验证的NTP设置。这可以确保已验证的NTP配置正确完成。
sensor(config-hos-ena)#show settings enabled ----------------------------------------------- ntp-keys (min: 1, max: 1, current: 1) ----------------------------------------------- key-id: 12345 ----------------------------------------------- md5-key: 123 ----------------------------------------------- ----------------------------------------------- ntp-servers (min: 1, max: 1, current: 1) ----------------------------------------------- ip-address: 10.1.1.1 key-id: 12345 ----------------------------------------------- ----------------------------------------------- sensor(config-hos-ena)#
要显示当前子模式中包含的配置内容,请在任何服务命令模式下使用show settings命令。这将验证未经身份验证的NTP配置是否正确完成。
sensor(config-hos-ena)#show settings enabled-ntp-unauthenticated ----------------------------------------------- ntp-server: 10.1.1.1 ----------------------------------------------- sensor(config-hos-ena)#
要显示系统时钟,请在EXEC模式下使用show clock命令,如下所示。此示例显示已配置和同步的NTP:
sensor#show clock detail 11:45:02 CST Tues Jul 20 2011 Time source is NTP sensor#
目前没有针对此配置的故障排除信息。
版本 | 发布日期 | 备注 |
---|---|---|
1.0 |
11-Nov-2009 |
初始版本 |