IPS 5.x及更高版本:IPS上的NTP配置示例

下载选项

  • PDF     (418.1 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (161.9 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (185.9 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2011 年 7 月 22 日
文档 ID:111092

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

简介

本文档提供使用网络时间协议(NTP)将思科安全入侵防御系统(IPS)时钟与网络时间服务器同步的示例配置。Cisco路由器配置为NTP服务器,IPS传感器配置为NTP服务器(Cisco路由器)用作时间源。

先决条件

要求

尝试进行此配置之前,请确保满足以下要求:

  • 在启动此NTP配置之前,必须可以从Cisco IPS传感器访问NTP服务器。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • 运行软件版本7.0及更高版本的Cisco 4200系列IPS设备

  • Cisco IPS Manager Express (IME) 7.0.1版及更高版本

    注意:虽然IME可用于监控运行Cisco IPS 5.0及更高版本的传感器设备,但只有运行Cisco IPS 6.1或更高版本的传感器才支持IME中提供的某些新特性和功能。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

相关产品

此文档还可用于以下硬件和软件版本:

  • 运行软件版本6.0及更低版本的Cisco 4200系列IPS设备

  • Cisco IPS Manager Express (IME)版本6.1.1

规则

有关文档约定的更多信息,请参考 Cisco 技术提示约定。

配置

将思科路由器配置为NTP服务器

如果传感器要使用NTP服务器作为时间源,则需要与NTP服务器建立经过身份验证的连接。传感器仅支持MD5散列算法用于密钥加密。使用以下步骤激活Cisco路由器,使其充当NTP服务器,并使用其内部时钟作为时间源。

完成以下步骤,将思科路由器设置为NTP服务器:

  1. 登录路由器。

  2. 进入配置模式。

    router#configure terminal

  3. 创建密钥ID和密钥值。 

    router(config)#ntp authentication-key key_ID md5 key_value

    密钥ID可以是介于1和65535之间的数字。键值为文本(数字或字符)。稍后会进行加密。例如:

    router(config)#ntp authentication-key 12345 md5 123

    注意:传感器仅支持MD5密钥。路由器上可能已存在密钥。使用show running配置命令检查其他密钥。您可以在步骤4中将这些值用于受信任密钥。

  4. 将您在第3步中刚刚创建的密钥指定为受信任密钥(或使用现有密钥)。

    router(config)#ntp trusted-key key_ID

    受信任密钥ID与步骤3中的密钥ID相同。例如:

    router(config)#ntp trusted-key 12345

  5. 指定路由器上传感器将与其通信的接口。 

    router(config)#ntp source interface_name

    例如:

    router(config)#ntp source FastEthernet 1/0

  6. 指定要分配给传感器的NTP主层数,如下所示:

    router(config)#ntp master stratum_number

    例如:

    router(config)#ntp master 6

    注意:NTP主层编号标识服务器在NTP层次结构中的相对位置。您可以选择一个介于1和15之间的数字。您选择的编号对传感器来说并不重要。

将传感器配置为使用NTP时间源

完成本节中的步骤,将传感器配置为使用NTP时间源(在本例中,Cisco路由器是NTP时间源)。

传感器需要一致的时间源。建议使用NTP服务器。使用以下步骤配置传感器,以便使用NTP服务器作为其时间源。您可以使用经过身份验证或未经过身份验证的NTP。

注意:对于经过身份验证的NTP,必须从NTP服务器获取NTP服务器IP地址、NTP服务器密钥ID和密钥值。

完成以下步骤以将传感器配置为使用NTP服务器作为其时间源:

  1. 使用具有管理员权限的帐户登录 CLI。

  2. 按如下所示进入配置模式:

    sensor#configure terminal

  3. 进入服务主机模式。 

    sensor(config)# service host

  4. NTP可以配置为已验证和未经验证的NTP。

    要配置未经身份验证的NTP,请完成以下步骤:

    1. 进入NTP配置模式。

      sensor(config-hos)#ntp-option enabled-ntp-unauthenticated

    2. 指定NTP服务器IP地址。

      sensor(config-hos-ena)#ntp-server ip_address

      在本示例中,NTP服务器IP地址为10.1.1.1。

      sensor(config-hos-ena)#ntp-server 10.1.1.1

      以下是使用Cisco IPS Manager Express配置未经身份验证的NTP的过程:

    1. 选择Configuration > Corp-IPS > Sensor Setup > Time。提供NTP服务器的IP地址后,单击Unauthenticated NTP旁边的单选按钮(如屏幕截图所示)。

    2. 单击 Apply

      IPS-ntp-config-01.gif

      这将完成未经身份验证的NTP配置。

      要配置经过身份验证的NTP,请完成以下步骤:

    1. 进入NTP配置模式。

      sensor(config-hos)#ntp-option enable

    2. 指定NTP服务器IP地址和密钥ID。密钥ID是一个介于1和65535之间的数字。这是您在NTP服务器上设置的密钥ID。 

      sensor(config-hos-ena)#ntp-servers ip_address key-id key_ID

      在本示例中,NTP服务器IP地址为10.1.1.1。

      sensor(config-hos-ena)#ntp-server 10.1.1.1 key-id 12345

    3. 指定密钥值NTP服务器。

      sensor(config-hos-ena)#ntp-keys key_ID md5-key key_value

      键值为文本(数字或字符)。这是已在NTP服务器上设置的密钥值。例如:

      sensor(config-hos-ena)#ntp-keys 12345 md5-key 123

      以下是使用Cisco IPS Manager Express配置经过身份验证的NTP的过程:

    1. 选择Configuration > Corp-IPS > Sensor Setup > Time。然后,在您提供NTP服务器的IP地址后,单击Authenticated NTP旁边的单选按钮(如屏幕截图所示)。

    2. 提供必须与NTP服务器中提到的密钥和密钥ID相同的密钥和密钥ID。

      在本示例中,密钥为123,密钥ID为12345。

    3. 单击 Apply

      IPS-ntp-config-02.gif

      这将完成经过身份验证的NTP配置。

  5. 退出NTP配置模式

    sensor(config-hos-ena)# exit

sensor(config-hos)# exit

Apply Changes:?[yes]

  6. Enter以应用更改或输入no以放弃更改。

    配置任务到此结束。

验证

本部分提供的信息可帮助您确认您的配置是否可正常运行。

验证经过身份验证的NTP设置。这可以确保已验证的NTP配置正确完成。

sensor(config-hos-ena)#show settings

   enabled

   -----------------------------------------------

      ntp-keys (min: 1, max: 1, current: 1)

      -----------------------------------------------

         key-id: 12345

         -----------------------------------------------

            md5-key: 123

         -----------------------------------------------

      -----------------------------------------------

      ntp-servers (min: 1, max: 1, current: 1)

      -----------------------------------------------

         ip-address: 10.1.1.1

         key-id: 12345

      -----------------------------------------------

-----------------------------------------------

sensor(config-hos-ena)#

要显示当前子模式中包含的配置内容,请在任何服务命令模式下使用show settings命令。这将验证未经身份验证的NTP配置是否正确完成。

sensor(config-hos-ena)#show settings

   enabled-ntp-unauthenticated

   -----------------------------------------------

      ntp-server: 10.1.1.1

   -----------------------------------------------

sensor(config-hos-ena)#

要显示系统时钟,请在EXEC模式下使用show clock命令,如下所示。此示例显示已配置和同步的NTP: 

sensor#show clock detail

11:45:02 CST Tues Jul 20 2011

Time source is NTP

sensor#

故障排除

目前没有针对此配置的故障排除信息。

相关信息

修订历史记录

版本 发布日期 备注
1.0
11-Nov-2009
初始版本

此文档是否有帮助?

Feedback反馈

联系我们

本文档适用于以下产品