تكوين مصادقة NTP في ISE
المقدمة
يصف هذا المستند كيفية تكوين مصادقة NTP على Cisco Identity Services Engine (ISE) واستكشاف أخطاء مصادقة NTP وإصلاحها.
المتطلبات الأساسية
المتطلبات
يوصى بأن تكون لديك معرفة بالمواضيع التالية:
- تكوين واجهة سطر الأوامر Cisco ISE
- المعرفة الأساسية لبروتوكول وقت الشبكة (NTP)
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- عقدة ISE 2.7 المستقلة
- Cisco2911/K9 الإصدار 15.2(1)T2
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
التكوين
الرسم التخطيطي للشبكة
التكوينات
قبل البدء
يجب أن يكون لديك دور مسؤول النظام أو مسؤول Super Admin المعين للوصول إلى ISE.
تأكد من عدم حظر منفذ NTP في مسار النقل بين ISE وخادم (خوادم) NTP.
يفترض أن لديك خوادم NTP مكونة على ISE. إذا كنت ترغب في تغيير خادم (خوادم) NTP، فانتقل إلى الإدارة > النظام > الإعدادات > وقت النظام. لفيديو قصير، أنت يستطيع رأيت ISE NTP تشكيل
إذا كان لديك عقد Cisco ISE الأساسية والثانوية على حد سواء في النشر، فيجب عليك تسجيل الدخول إلى واجهة المستخدم لكل عقدة وتكوين إعدادات خادم بروتوكول وقت الشبكة (NTP) ووقت النظام.
أنت يستطيع شكلت ال NTP صحة هوية في ISE إما من GUI أو CLI.
خطوات GUI
الخطوة 1. انتقل إلى إدارة > نظام > إعدادات > وقت النظام وانقر فوق مفاتيح مصادقة NTP، كما هو موضح في هذه الصورة.
الخطوة 2. هنا يمكنك إضافة مفتاح مصادقة واحد أو أكثر. انقر إضافة، ثم تحصل على منبثق. هنا، يدعم حقل معرف المفتاح القيم الرقمية بين 1 إلى 65535 ويدعم حقل قيمة المفتاح ما يصل إلى 15 حرف أبجدي رقمي. قيمة المفتاح هي مفتاح NTP الفعلي الذي يتم إستخدامه لمصادقة ISE كعميل إلى خادم NTP. كما يجب أن يتطابق معرف المفتاح مع المعرف الذي تم تكوينه على خادم NTP. أختر قيمة كود مصادقة الرسالة المجمعة المطلوبة (HMAC) من القائمة المنسدلة HMAC.
الخطوة 3. انقر على موافق ثم احفظ مفاتيح المصادقة. يمكنك العودة إلى علامة التبويب تكوين خادم NTP.
الخطوة 4. الآن في القائمة المنسدلة للمفتاح، ترى معرف المفتاح الذي قمت بتكوينه في الخطوة 3. انقر فوق معرف المفتاح الخاص إذا كانت لديك معرفات مفاتيح متعددة تم تكوينها. بعد ذلك، انقر فوق حفظ.
خطوات CLI
الخطوة 1. قم بتكوين مفتاح مصادقة NTP.
admin(config)# ntp authentication-key ?
<1-65535> Key number >>> This is the Key ID
admin(config)# ntp authentication-key 1 ? >>> Here you can choose the HMAC value
md5 MD5 authentication
sha1 SHA1 authentication
sha256 SHA256 authentication
sha512 SHA512 authentication
admin(config)# ntp authentication-key 1 md5 ? >>> You can choose either to paste the hash of the actual key or type the key in plain text.
hash Specifies an ENCRYPTED (hashed) key follows
plain Specifies an UNENCRYPTED plain text key follows
admin(config)# ntp authentication-key 1 md5 plain Ntp123 >>> Ensure there are no spaces given at the end of the key.
الخطوة 2. قم بتحديد خادم NTP وربط معرف المفتاح الذي تم تكوينه في الخطوة 1.
admin(config)# ntp server IP/HOSTNAME ?
key Peer key number
<cr> Carriage return.
admin(config)# ntp serve IP/HOSTNAME key ?
<1-65535>
admin(config)# ntp serve IP/HOSTNAME key 1 ?
<cr> Carriage return.
admin(config)# ntp serve IP/HOSTNAME key 1
التكوين على الموجه
يعمل الموجه كخادم NTP. قم بتكوين هذه الأوامر لتمكين الموجه كخادم NTP باستخدام مصادقة NTP.
ntp authentication-key 1 md5 Ntp123 >>> The same key that you configured on ISE
ntp authenticate
ntp master STRATUM
التحقق من الصحة
على ISE:
أستخدم الأمر show ntp. إذا نجحت مصادقة NTP، يجب أن ترى ISE المراد مزامنته مع خادم NTP.
admin# sh ntp
Configured NTP Servers:
NTP_SERVER_IP
Reference ID : 0A6A23B1 (NTP_SERVER_IP)
Stratum : 3
Ref time (UTC) : Fri Mar 26 09:14:31 2021
System time : 0.000008235 seconds fast of NTP time
Last offset : +0.000003193 seconds
RMS offset : 0.000020295 seconds
Frequency : 10.472 ppm slow
Residual freq : +0.000 ppm
Skew : 0.018 ppm
Root delay : 0.000571255 seconds
Root dispersion : 0.000375993 seconds
Update interval : 519.3 seconds
Leap status : Normal >>> If there is any issue in NTP synchronization, it shows "Not synchronised".
210 Number of sources = 1
MS Name/IP address Stratum Poll Reach LastRx Last sample
===============================================================================
^* NTP_SERVER_IP 2 9 377 100 +3853ns[+7046ns] +/- 684us
M indicates the mode of the source.
^ server, = peer, # local reference clock.
S indicates the state of the sources.
* Current time source, + Candidate, x False ticker, ? Connectivity lost, ~ Too much variability
Warning: Output results can conflict at the time of changing synchronization.
admin#
استكشاف الأخطاء وإصلاحها
يوفر هذا القسم المعلومات التي يمكنك إستخدامها لاستكشاف أخطاء التكوين وإصلاحها.
- إذا لم تعمل مصادقة NTP، فإن الخطوة الأولى لضمان إمكانية الوصول بين خادم ISE و NTP.
- تأكد من تطابق تكوين معرف المفتاح على ISE وعلى خادم NTP.
- تأكد من تكوين معرف المفتاح كمفتاح موثوق به على خادم NTP.
- تدعم الإصدارات الأقدم من ISE مثل 2.4 و 2.6 أمر ntp trusted-key. لذلك، تأكد من تكوين مفتاح NTP كمفتاح موثوق به على إصدارات ISE هذه.
- يقدم ISE 2.7 تغييرا في سلوك مزامنة NTP. بينما تستخدم الإصدارات السابقة NTPD، تستخدم الإصدارات 2.7 والإصدارات الأعلى التسلسل الزمني. يحتوي Chrony على متطلبات مختلفة عن NTPD. ومن بين أكثر الميزات التي يمكن ملاحظتها أنه في الوقت الذي تتم فيه مزامنة NTPD مع الخوادم التي تحتوي على تشتيت جذري يصل إلى 10 ثوان، فإن التزامن لا يتم مزامنته إلا عندما يكون التشتيت الجذري أقل من 3 ثوان. وهذا يتسبب في أن تكون خوادم NTP التي كانت قادرة على مزامنة الترقية المسبقة، قد خرجت عن المزامنة على 2.7 دون أي سبب واضح.
بسبب هذا التغيير، سوف يتم عرض مشاكل مزامنة NTP بشكل متكرر إذا كنت تستخدم خادم Windows NTP لأنها تقوم بالإبلاغ عن تشتيت جذر كبير جدا (3 ثوان أو أكثر) وهذا يتسبب في قيام التزامن بتجاهل خادم NTP على أنه غير دقيق للغاية.
العيوب المرجعية
معرف تصحيح الأخطاء من Cisco CSCvw78019
معرف تصحيح الأخطاء من Cisco CSCvw03693
معلومات ذات صلة
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
3.0 |
28-May-2024 |
الرؤوس المحدثة، النص البديل، والتنسيق. |
2.0 |
16-May-2023 |
تقويم |
1.0 |
28-Jun-2021 |
الإصدار الأولي |
التعليقات