Giao thức NTP (Network Time Protocol) là gì? NTP là một giao thức internet – được sử dụng để đồng bộ hóa thời gian trên hệ thống mạng một cách nhanh chóng chỉ trong vòng vài mini giây UTC (Universal Coordinated Time) Trong bài viết này chúng ta tìm hiểu cách xác thực với NTP và cấu hình giao thức NTP trên Router cisco. Sơ đồ Cấu hình Bước 1: Cấu hình ban đầu • Thực hiện đặt IP trên các interface của các router theo quy hoạch IP được chỉ ra trên hình. • Cấu hình một phương thức định tuyến bất kỳ đảm bảo mọi địa chỉ trên sơ đồ mạng thấy nhau. Cấu hình Trên R1: R1(config)#interface loopback 0 R1(config-if)#ip address 192.168.1.1 255.255.255.0 R1(config-if)#exit R1(config)#interface f0/0 R1(config-if)#no shutdown R1(config-if)#ip address 192.168.123.1 255.255.255.0 R1(config-if)#exit R1(config)#ip route 192.168.2.0 255.255.255.0 192.168.123.2 R1(config)#ip route 192.168.3.0 255.255.255.0 192.168.123.3 Trên R2: R2(config)#interface loopback 0 R2(config-if)#ip address 192.168.2.1 255.255.255.0 R2(config-if)#exit R2(config)#interface f0/0 R2(config-if)#no shutdown R2(config-if)#ip address 192.168.123.2 255.255.255.0 R2(config-if)#exit R2(config)#ip route 192.168.1.0 255.255.255.0 192.168.123.1 R2(config)#ip route 192.168.3.0 255.255.255.0 192.168.123.3 Trên R3: R3(config)#interface loopback 0 R3(config-if)#ip address 192.168.3.1 255.255.255.0 R3(config-if)#exit R3(config)#interface f0/0 R3(config-if)#no shutdown R3(config-if)#ip address 192.168.123.3 255.255.255.0 R3(config-if)#exit R3(config)#ip route 192.168.1.0 255.255.255.0 192.168.123.1 R3(config)#ip route 192.168.2.0 255.255.255.0 192.168.123.2 Kiểm tra Ta kiểm tra rằng các địa chỉ trên sơ đồ đã đi đến được nhau: R1#ping 192.168.123.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.123.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 16/34/72 ms R1#ping 192.168.123.3 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.123.3, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 16/32/56 ms R1#ping 192.168.2.1 source 192.168.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds: Packet sent with a source address of 192.168.1.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 20/32/68 ms R1#ping 192.168.3.1 source 192.168.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.3.1, timeout is 2 seconds: Packet sent with a source address of 192.168.1.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 20/29/64 ms R2#ping 192.168.123.3 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.123.3, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 20/37/100 ms R2#ping 192.168.3.1 source 192.168.2.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.3.1, timeout is 2 seconds: Packet sent with a source address of 192.168.2.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 16/27/52 ms Bước 2: Cấu hình NTP • Cấu hình để R1 đóng vai trò là nguồn đồng bộ thời gian thực cho hệ thống mạng. Thiết lập R1 sử dụng stratum cấp độ 5. Bên cạnh đó, cấu hình để router R1 sử dụng source cho các gói tin NTP là địa chỉ IP trên cổng loopback 0 của nó. • Cấu hình để hai router R2 và R3 đồng bộ thời gian thực trên đồng hồ của mình theo đồng hồ của R1. • Cấu hình R2 xác thực các gói tin NTP đến từ R1 với password là “CISCO12” và R3 xác thực các gói tin NTP đến từ R1 với password là “CISCO13”. Cấu hình Trên R1: R1(config)#ntp master 5 R1(config)#ntp source loopback 0 R1(config)#ntp authentication-key 12 md5 CISCO12 R1(config)#ntp authentication-key 13 md5 CISCO13 Trên R2: R2(config)#ntp server 192.168.1.1 R2(config)#ntp authenticate R2(config)#ntp authentication-key 12 md5 CISCO12 R2(config)#ntp trusted-key 12 Trên R3: R3(config)#ntp server 192.168.1.1 R3(config)#ntp authenticate R3(config)#ntp authentication-key 13 md5 CISCO13 R3(config)#ntp trusted-key 13 Chú ý : Việc cấu hình khai báo NTP server và trên các client chỉ định tường minh địa chỉ của NTP server mà các client này lấy làm nguồn đồng bộ. Phần mới trong bước cấu hình này đó chính là cấu hình xác thực với NTP giữa R2 với R1 và R3 với R1. Xác thực NTP có hai đặc điểm: • Chỉ áp dụng cho các gói tin NTP nhận được mà có khả năng làm thay đổi đồng hồ hệ thống của thiết bị. • Kỹ thuật xác thực được sử dụng là kỹ thuật HMAC MD5, có sử dụng key – id của key xác thực trong việc khởi tạo hàm băm (hash). Từ những đặc điểm trên, ta rút ra kết luận: • Chỉ router nhận cập nhật NTP mới thực hiện xác thực các gói tin NTP nhận được; hay nói cách khác, chỉ có NTP client thực hiện xác thực NTP server, NTP server không xác thực NTP client. • Tuy vậy, key xác thực vẫn phải được khai báo trên cả client lẫn server. Key được khai báo sẽ gồm hai thành phần: key – id và key – string. Trong cấu hình đã thực hiện ở trên, R2 xác thực mọi bản tin NTP từ R1 bằng key có key – id là 12 và key – string là “CISCO12”. Key này được khai báo trên cả R1 lẫn R2: R1(config)#ntp authentication-key 12 md5 CISCO12 R2(config)#ntp authentication-key 12 md5 CISCO12 Trên R2, bên cạnh việc khai báo key 12, ta còn thực hiện bật xác thực với key này: R2(config)#ntp authenticate R2(config)#ntp trusted-key 12 Như vậy, cấu hình xác thực R1 trên R2 với key 12 đã được hoàn thành. Cách làm được tiến hành tương tự giữa R1 và R3. Kiểm tra Đầu tiên ta thực hiện cấu hình các đồng hồ trên các router về một giá trị thống nhất và sau đó để NTP chỉnh tinh việc đồng bộ giữa các đồng hồ: R1#clock set 16:35:00 10 Aug 2015 R2#clock set 16:35:00 10 Aug 2015 R3#clock set 16:35:00 10 Aug 2015 Lưu ý: Có thể phải mất một khoảng thời gian việc đồng bộ mới diễn ra. Ta có kết quả đồng bộ NTP trên R2 và R3: R2#show ntp status Clock is synchronized, stratum 6, reference is 192.168.1.1 nominal freq is 250.0000 Hz, actual freq is 249.9996 Hz, precision is 2**24 reference time is D97352D2.C73036EF (16:41:54.778 UTC Mon Aug 10 2015) clock offset is 20.8218 msec, root delay is 93.46 msec root dispersion is 16270.86 msec, peer dispersion is 15875.02 msec R2#show ntp associations address ref clock st when poll reach delay offset disp *~192.168.1.1 127.127.7.1 5 40 64 37 76.2 -33.07 920.6 * master (synced), # master (unsynced), + selected, - candidate, ~ configured R3#show ntp status Clock is synchronized, stratum 6, reference is 192.168.1.1 nominal freq is 250.0000 Hz, actual freq is 250.0000 Hz, precision is 2**24 reference time is D97353E2.98B0FED2 (16:46:26.596 UTC Mon Aug 10 2015) clock offset is 39.6349 msec, root delay is 28.00 msec root dispersion is 956.54 msec, peer dispersion is 916.89 msec R3#show ntp associations address ref clock st when poll reach delay offset disp *~192.168.1.1 127.127.7.1 5 34 64 37 28.0 39.63 916.9 * master (synced), # master (unsynced), + selected, - candidate, ~ configured Kết quả show cho thấy R2 và R3 đã đồng bộ thông tin thời gian thực với R1. Việc đồng bộ thành công cho thấy xác thực NTP đã diễn ra thành công trên các Router. Chúc các bạn thành công !
