本文檔提供使用網路時間協定(NTP)將思科安全入侵防禦系統(IPS)時鐘與網路時間伺服器同步的示例配置。將Cisco路由器配置為NTP伺服器,並將IPS感測器配置為使用NTP伺服器(Cisco路由器)作為時間源。
嘗試此組態之前,請確保符合以下要求:
啟動此NTP配置之前,必須可以從Cisco IPS感測器訪問NTP伺服器。
本文中的資訊係根據以下軟體和硬體版本:
運行軟體版本7.0及更高版本的Cisco 4200系列IPS裝置
Cisco IPS Manager Express (IME)版本7.0.1及更高版本
注意:儘管IME可用於監控運行Cisco IPS 5.0及更高版本的感測器裝置,但只有運行Cisco IPS 6.1或更高版本的感測器才支援IME中提供的某些新特性和功能。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
本檔案也適用於以下硬體和軟體版本:
運行軟體版本6.0及更低版本的Cisco 4200系列IPS裝置
Cisco IPS管理員Express (IME)版本6.1.1
如果感測器要使用NTP伺服器作為時間源,則需要與NTP伺服器進行驗證的連線。感測器僅支援用於金鑰加密的MD5雜湊演算法。使用以下過程啟用Cisco路由器,使其充當NTP伺服器並使用其內部時鐘作為時間源。
完成以下步驟,將Cisco路由器設定為充當NTP伺服器:
登入到路由器。
進入配置模式。
router#configure terminal
建立金鑰ID和金鑰值。
router(config)#ntp authentication-key key_ID md5 key_value
金鑰ID可以是介於1和65535之間的數字。鍵值為文字(數字或字元)。稍後會進行加密。舉例來說:
router(config)#ntp authentication-key 12345 md5 123
註:感測器僅支援MD5金鑰。路由器上可能已存在金鑰。使用show running配置命令檢查其他金鑰。您可以在步驟4中使用信任金鑰的這些值。
將您在第3步中剛剛建立的金鑰指定為受信任的金鑰(或使用現有金鑰)。
router(config)#ntp trusted-key key_ID
受信任的金鑰ID與步驟3中的金鑰ID相同。舉例來說:
router(config)#ntp trusted-key 12345
指定路由器上感測器要與之通訊的介面。
router(config)#ntp source interface_name
舉例來說:
router(config)#ntp source FastEthernet 1/0
指定要分配給感測器的NTP主層數,如下所示:
router(config)#ntp master stratum_number
舉例來說:
router(config)#ntp master 6
註:NTP主層數標識伺服器在NTP層次結構中的相對位置。您可以選擇1到15之間的數字。對於感測器而言,您選擇的編號並不重要。
完成本節中的步驟,將感測器配置為使用NTP時間源(在本例中,Cisco路由器是NTP時間源)。
感測器需要一致的時間源。建議使用NTP伺服器。使用以下步驟配置感測器,以便使用NTP伺服器作為其時間源。您可以使用已驗證或未驗證的NTP。
注意:對於經過身份驗證的NTP,必須從NTP伺服器獲取NTP伺服器IP地址、NTP伺服器金鑰ID和金鑰值。
完成以下步驟以將感測器配置為使用NTP伺服器作為其時間源:
使用具有管理員許可權的帳戶登入到CLI。
如圖所示進入配置模式:
sensor#configure terminal
進入服務主機模式。
sensor(config)# service host
NTP可以配置為已驗證和未驗證的NTP。
要配置未經身份驗證的NTP,請完成以下步驟:
進入NTP配置模式。
sensor(config-hos)#ntp-option enabled-ntp-unauthenticated
指定NTP伺服器IP地址。
sensor(config-hos-ena)#ntp-server ip_address
在本示例中,NTP伺服器IP地址為10.1.1.1。
sensor(config-hos-ena)#ntp-server 10.1.1.1
以下是使用Cisco IPS Manager Express配置未經身份驗證的NTP的過程:
選擇Configuration > Corp-IPS > Sensor Setup > Time。然後,在提供NTP伺服器的IP地址(如螢幕截圖所示)之後,按一下Unauthenticated NTP旁邊的單選按鈕。
按一下「Apply」。
這將完成未經驗證的NTP配置。
要配置經過身份驗證的NTP,請完成以下步驟:
進入NTP配置模式。
sensor(config-hos)#ntp-option enable
指定NTP伺服器IP地址和金鑰ID。金鑰ID是一個介於1和65535之間的數字。這是您已在NTP伺服器上設定的金鑰ID。
sensor(config-hos-ena)#ntp-servers ip_address key-id key_ID
在本示例中,NTP伺服器IP地址為10.1.1.1。
sensor(config-hos-ena)#ntp-server 10.1.1.1 key-id 12345
指定NTP伺服器的金鑰值。
sensor(config-hos-ena)#ntp-keys key_ID md5-key key_value
鍵值為文字(數字或字元)。這是已在NTP伺服器上設定的金鑰值。舉例來說:
sensor(config-hos-ena)#ntp-keys 12345 md5-key 123
以下是使用Cisco IPS Manager Express配置經過身份驗證的NTP的過程:
選擇Configuration > Corp-IPS > Sensor Setup > Time。然後,在提供NTP伺服器的IP地址(如螢幕截圖所示)之後,按一下Authenticated NTP旁邊的單選按鈕。
提供必須與NTP伺服器中提及的金鑰和金鑰ID相同的金鑰。
在本示例中,金鑰是123,金鑰ID是12345。
按一下「Apply」。
這將完成已驗證的NTP配置。
退出NTP配置模式。
sensor(config-hos-ena)# exit sensor(config-hos)# exit Apply Changes:?[yes]
按Enter 以應用更改或輸入no 以放棄更改。
這樣即可完成配置任務。
本節提供的資訊可用於確認組態是否正常運作。
驗證已驗證的NTP設定。這可以確保已驗證的NTP配置正確完成。
sensor(config-hos-ena)#show settings enabled ----------------------------------------------- ntp-keys (min: 1, max: 1, current: 1) ----------------------------------------------- key-id: 12345 ----------------------------------------------- md5-key: 123 ----------------------------------------------- ----------------------------------------------- ntp-servers (min: 1, max: 1, current: 1) ----------------------------------------------- ip-address: 10.1.1.1 key-id: 12345 ----------------------------------------------- ----------------------------------------------- sensor(config-hos-ena)#
要顯示當前子模式中包含的配置內容,請在任何服務命令模式下使用show settings命令。這將驗證未驗證的NTP配置是否正確完成。
sensor(config-hos-ena)#show settings enabled-ntp-unauthenticated ----------------------------------------------- ntp-server: 10.1.1.1 ----------------------------------------------- sensor(config-hos-ena)#
要顯示系統時鐘,請在EXEC模式下使用show clock命令,如下所示。此示例顯示已配置和同步的NTP:
sensor#show clock detail 11:45:02 CST Tues Jul 20 2011 Time source is NTP sensor#
目前尚無適用於此組態的具體疑難排解資訊。
修訂 | 發佈日期 | 意見 |
---|---|---|
1.0 |
11-Nov-2009 |
初始版本 |