使用网络时间协议(NTP),本文为同步Cisco Secure入侵防御系统(IPS)时钟提供一配置示例与网络时间时间服务器。Cisco路由器配置,当Ntp server和IPS传感器配置使用Ntp server (Cisco路由器)作为时间源。
尝试进行此配置之前,请确保满足以下要求:
在您开始此NTP配置前, Ntp server一定是可及的从思科IPS传感器。
本文档中的信息基于以下软件和硬件版本:
运行软件版本7.0及以后的Cisco 4200系列IPS设备
Cisco IPS Manager Express (IME)版本7.0.1和以上
注意: 当IME可以用于监控运行思科IPS 5.0及以上版本的传感器设备时,传送的运行思科IPS 6.1或以上的传感器只支持某些新特性在IME和功能。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
此文档还可用于以下硬件和软件版本:
运行软件版本6.0和前的Cisco 4200系列IPS设备
Cisco IPS Manager Express (IME)版本6.1.1
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
如果使用Ntp server作为时间源,传感器要求与Ntp server的一已验证连接。传感器支持密钥加密的仅MD5散列算法。使用以下步骤激活Cisco路由器作为Ntp server和使用其内部时钟作为时间源。
完成这些步骤设置Cisco路由器作为Ntp server :
登录路由器。
输入配置模式。
router#configure terminal
创建密钥ID和关键值。
router(config)#ntp authentication-key key_ID md5 key_value
密钥ID可以是1和65535范围的一个编号。关键值是文本(数字或字符)。它加密的以后。例如:
router(config)#ntp authentication-key 12345 md5 123
注意: 传感器只支持MD5密钥。密钥在路由器也许已经存在。请使用show running configuration命令检查其他密钥。您能使用那些值信任键在步骤4。
选定您在步骤3创建作为信任键的密钥(或请使用一现有密钥)。
router(config)#ntp trusted-key key_ID
信任键ID例如是编号和在步骤3.的密钥ID一样:
router(config)#ntp trusted-key 12345
指定在传感器将联络的路由器的接口。
router(config)#ntp source interface_name
例如:
router(config)#ntp source FastEthernet 1/0
指定将分配的Ntp master层数到传感器如显示此处:
router(config)#ntp master stratum_number
例如:
router(config)#ntp master 6
注意: Ntp master层数识别服务器的相对位置在NTP层级。您能选择1和15范围的一个编号。对编号您选择的传感器不是重要。
完成在此部分的步骤为了配置传感器使用NTP时间源(Cisco路由器是在本例中的NTP时间源)。
传感器要求一一致时间源。推荐使用Ntp server。使用以下步骤配置传感器使用Ntp server作为其时间源。您能使用已验证或未经鉴定的NTP。
注意: 对于已验证NTP,您必须从Ntp server得到Ntp server IP地址, Ntp server密钥ID和关键值。
完成这些步骤为了配置传感器使用Ntp server作为其时间源:
使用具有管理员权限的帐户登录 CLI。
输入配置模式如显示此处:
sensor#configure terminal
输入服务主机模式。
sensor(config)# service host
NTP可以配置作为验证的和未经鉴定的NTP。
完成这些步骤为了配置未经鉴定的NTP :
输入NTP配置模式。
sensor(config-hos)#ntp-option enabled-ntp-unauthenticated
指定Ntp server IP地址。
sensor(config-hos-ena)#ntp-server ip_address
在本例中Ntp server IP地址是10.1.1.1。
sensor(config-hos-ena)#ntp-server 10.1.1.1
这是配置未经鉴定的NTP的步骤使用Cisco IPS Manager Express :
选择设置的Configuration>公司IPS >传感器>时间。然后,如屏幕画面所显示后,在您提供Ntp server的IP地址请在未经鉴定的NTP旁边单击单选按钮。
单击 Apply。
这完成未经鉴定的NTP配置。
完成这些步骤为了配置已验证NTP :
输入NTP配置模式。
sensor(config-hos)#ntp-option enable
指定Ntp server IP地址和密钥ID。密钥ID是1和65535范围的一个编号。这是该的密钥ID您已经设置在Ntp server。
sensor(config-hos-ena)#ntp-servers ip_address key-id key_ID
在本例中Ntp server IP地址是10.1.1.1。
sensor(config-hos-ena)#ntp-server 10.1.1.1 key-id 12345
指定关键值Ntp server。
sensor(config-hos-ena)#ntp-keys key_ID md5-key key_value
关键值是文本(数字或字符)。这是该的关键值您已经设置在Ntp server。例如:
sensor(config-hos-ena)#ntp-keys 12345 md5-key 123
这是配置已验证NTP的步骤使用Cisco IPS Manager Express :
选择设置的Configuration>公司IPS >传感器>时间。然后,如屏幕画面所显示后,在您提供Ntp server的IP地址请在已验证NTP旁边单击单选按钮。
提供必须是相同的按照Ntp server所述的密钥和密钥ID。
在本例中密钥是123,并且密钥ID是12345。
单击 Apply。
这完成已验证NTP配置。
退出NTP配置模式。
sensor(config-hos-ena)# exit sensor(config-hos)# exit Apply Changes:?[yes]
按回车应用更改或输入不丢弃他们。
这完成配置任务。
本部分提供的信息可帮助您确认您的配置是否可正常运行。
验证已验证NTP设置。这确保已验证NTP配置正确地被执行。
sensor(config-hos-ena)#show settings enabled ----------------------------------------------- ntp-keys (min: 1, max: 1, current: 1) ----------------------------------------------- key-id: 12345 ----------------------------------------------- md5-key: 123 ----------------------------------------------- ----------------------------------------------- ntp-servers (min: 1, max: 1, current: 1) ----------------------------------------------- ip-address: 10.1.1.1 key-id: 12345 ----------------------------------------------- ----------------------------------------------- sensor(config-hos-ena)#
为了显示在当前从属方式包含的配置的内容,请使用显示设置in命令所有service命令指令方式。这验证未经鉴定的NTP配置正确地被执行。
sensor(config-hos-ena)#show settings enabled-ntp-unauthenticated ----------------------------------------------- ntp-server: 10.1.1.1 ----------------------------------------------- sensor(config-hos-ena)#
为了显示系统时钟,请使用show clock命令在EXEC模式如显示。此示例显示配置和同步的NTP :
sensor#show clock detail 11:45:02 CST Tues Jul 20 2011 Time source is NTP sensor#
目前没有针对此配置的故障排除信息。