Lab Sincronizacion de Dispositivos de Campus Usando NTP

Escuela de Informtica y Telecomunicaciones
PDA
Actividad de Aprendizaje
ACTIVIDAD DE APRENDIZAJE
Ingeniera en Conectividad y Redes
Carrera/s
Sigla Curso
Modalidad
Versin PDA
Material de apoyo (insumos y
equipamiento) para la actividad
CAS6501
Presencial
2015
2 switches (Cisco 2960 con Cisco IOS Release

15.0(2)SE6 C2960-LANBASEK9-M o equivalente)
2 switches (Cisco 3560 con Cisco IOS Release

15.0(2)SE6 C3560-IPSERVICESK9-M o equivalente)
Cables Ethernet y consolas
4 PC's conectados a la topologa de acuerdo al

diagrama.
NOMBRE DE LA ACTIVIDAD
Sincronizacin de Dispositivos de Campus usando NTP
Topologa
Escenario
NTP est diseado para sincronizar el tiempo en los dispositivos de una red. NTP se ejecuta
sobre UDP (Puerto 123) y tanto el origen como el destino se deben ejecutar sobre IP. Usa un
esquema cliente servidor formando una red de sincronizacin. En este laboratorio, DLS1 es
designado como el origen principal, todos los dems dispositivos deben sincronizarse a DLS1
(DLS2, ALS1 y ALS2). Sin embargo, NTP es propenso a ataques de red, por lo que se
controlar el acceso a DLS1 usando autenticacin y listas de acceso NTP.

PDA
Configurar los parmetros bsicos del Switch.

Configurar una direccin IP en la VLAN de administracin de acuerdo al diagrama. La VLAN 1
es la VLAN administrativa por defecto, pero siguiendo una buena prctica, se usar una VLAN
diferente. En este caso, la VLAN 99.
Ingresar los siguientes comandos de configuracin bsicos en cada uno de los switchs de
acuerdo al diagrama. Por ejemplo, el DLS1:
DLS1# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
DLS1(config)# interface vlan 99
DLS1(config-if)# ip address 172.16.99.1 255.255.255.0
DLS1(config-if)# no shutdown
La interface VLAN 99 no se activa inmediatamente, debido a que la instancia de Capa 2 de la
VLAN no existe. De manera opcional, crear una contrasea enable secret y configurar las
lneas VTY y permitir el acceso remoto desde otros dispositivos. Por ejmplo, el DLS1:
DLS1(config)# enable secret class
DLS1(config)# line vty 0 15
DLS1(config-line)# password cisco
DLS1(config-line)# login
Configurar los gateways por defecto en los switchs de la capa de aceso ALS1 y ALS2. Los
switchs de la capa de distribucin no usarn un Gateway por defecto debido a que actan
como dispositivos de Capa 3.
ALS1(config)# ip default-gateway 172.16.99.1
ALS2(config)# ip default-gateway 172.16.99.2
Configurar los troncales y EtherChannels entre los switchs.

EtherChannel es usado en los troncales ya que permite usar ambas interfaces Fast Ethernet
que estn disponibles en cada dispositivo, permitiendo doblar el ancho de banda.
Nota: Es una buena prctica apagar las interfaces en ambos lados del enlace antes de crear el
port-channel.
a
Configurar los troncales y EtherChannels desde DLS1 y DLS2 a los otros 3 switchs de
acuerdo al diagrama. Se usa el comando switchport trunk encapsulation {isl | dot1q}
debido a que los switchs tambin usan encapsulacin ISL. La VLAN nativa ha sido
cambiada a la VLAN 666 y el modo de los puertos a nonegotiate. Como ejemplo de
configuracin:
DLS1(config)# interface range fastEthernet 0/7 - 8
DLS1(config-if-range)# switchport trunk encapsulation dot1q
DLS1(config-if-range)# switchport mode trunk
DLS1(config-if-range)# switchport trunk native vlan 666
DLS1(config-if-range)# switchport nonegotiate
DLS1(config-if-range)# channel-group 1 mode desirable
DLS1(config-if-range)# no shut
Creating a port-channel interface Port-channel 1
ALS1(config)# interface range fastEthernet 0/7 - 8
ALS1(config-if-range)# switchport mode trunk

PDA
ALS1(config-if-range)#
switchport trunk native vlan 666

switchport nonegotiate
channel-group 1 mode desirable
no shut
a. Verificar los troncales entre DLS1, ALS1 y ALS2 usando el comando show interface trunk
en todos los switchs.
DLS1# show interface trunk
Port
Po1
Po2
Po3
Mode
on
on
on
Encapsulation
802.1q
802.1q
802.1q
Status
trunking
trunking
trunking
Native vlan
1
1
1
Port
Po1
Po2
Po3
Vlans allowed on trunk

1-4094
1-4094
1-4094
Port
Po1
Po2
Po3
Vlans allowed and active in management domain

1
1
1
Port
Po1
Po2
Po3
Vlans in spanning tree forwarding state and not pruned

1
1
1
b. Ejecutar el comando show etherchannel summary en cada switch para verificar los
EtherChannels. El siguiente ejemplo muestra la salida para ALS1.
ALS1# show etherchannel summary
Flags: D - down
P - bundled in port-channel
I - stand-alone s - suspended
H - Hot-standby (LACP only)
R - Layer3
S - Layer2
U - in use
f - failed to allocate aggregator
M
u
w
d
not in use, minimum links not met

unsuitable for bundling
waiting to be aggregated
default port
Number of channel-groups in use: 3

Number of aggregators:
3
Group Port-channel Protocol
Ports
------+-------------+----------+----------------------------------------------1
Po1(SU)
PAgP
Fa0/7(P)
Fa0/8(P)
2
Po2(SU)
PAgP
Fa0/9(P)
Fa0/10(P)
3
Po3(SU)
PAgP
Fa0/11(P)
Fa0/12(P)
Configurar VTP en el DLS2, ALS1 y ALS2.

PDA
a Cambiar el modo VTP de ALS1 y ALS2 a modo cliente y el modo VTP de DLS2 a servidor.
ALS1(config)# vtp mode client
Setting device to VTP CLIENT mode for VLANS.
ALS2(config)# vtp mode client
Setting device to VTP CLIENT mode for VLANS.
Set DLS2 to server mode.
DLS2(config)#vtp mode server
Setting device to VTP Server mode for VLANS
NOTE: Switches default to vtp mode server. However, remember the base
configuration modifies this setting to vtp mode transparent.
c. Verificar los cambios VTP con el comando show vtp status.
ALS1# show vtp status
VTP Version capable
: 1 to 3
VTP version running
: 1
VTP Domain Name
:
VTP Pruning Mode
: Disabled
VTP Traps Generation
: Disabled
Device ID
: 0017.95d1.8b80
Configuration last modified by 0.0.0.0 at 0-0-00 00:00:00
Feature VLAN:
-------------VTP Operating Mode
Maximum VLANs supported locally
Number of existing VLANs
Configuration Revision
MD5 digest
0xBD
:
:
:
:
:
Client
255
5
0
0x57 0xCD 0x40 0x65 0x63 0x59 0x47
0x56 0x9D 0x4A 0x3E 0xA5 0x69 0x35
0xBC
Configurar VTP en DLS1.

a
Crear el dominio VTP en el servidor DLS1 y crear las VLANs 10, 20, 30, 40 y 99 para el
dominio.
NOTA: Los Switches se encuentran por defecto en el modo SERVER.

DLS1(config)# vtp domain NTP
DLS1(config)# vtp version 2
DLS1(config)# vtp mode server
Setting device to VTP Server mode for VLANS
DLS1(config)# vlan
DLS1(config-vlan)#
DLS1(config-vlan)#
DLS1(config-vlan)#
DLS1(config-vlan)#
DLS1(config-vlan)#
DLS1(config-vlan)#
DLS1(config-vlan)#
DLS1(config-vlan)#
DLS1(config-vlan)#
10
name
vlan
name
vlan
name
vlan
name
vlan
name
Finance
20
Engineering
30
Server-Farm1
40
Server-Farm2
99
Management

PDA
DLS1(config-vlan)# vlan 666

DLS1(config-vlan)# name NATIVE_DO_NOT_USE
Configurar los puertos de acceso.

a
Configurar los puertos de los host para todos los switchs. Los siguientes comandos
configuran los puertos del switch en modo acceso y STP en PortFast.
DLS1(config)# interface fastEthernet 0/6
DLS1(config-if)# switchport mode access
DLS1(config-if)# switchport access vlan 99
DLS1(config-if)# spanning-tree portfast
DLS2(config)# interface fastEthernet 0/6
DLS2(config-if)# switchport mode access
DLS2(config-if)# switchport access vlan 40
DLS2(config-if)# spanning-tree portfast
ALS1(config)# interface fastEthernet 0/6
ALS1(config-if)# switchport mode access
ALS1(config-if)# switchport access vlan 10
ALS1(config-if)# spanning-tree portfast
DALS1(config-if)# no shutdown
ALS2(config)# interface fastEthernet 0/6
ALS2(config-if)# switchport mode access
ALS2(config-if)# switchport access vlan 20
ALS2(config-if)# spanning-tree portfast
ALS2(config-if)# no shutdown
Configurar SVIs para las interfaces L3 y habilitar el enrutamiento.

DLS1(config)# ip routing
DLS1(config)# interface loopback 1
DLS1(config-if)# exit
Nota: El propsito de la interface loopback es ser usada como origen de NTP.
DLS2(config)# ip routing

PDA

DLS2(config)# ip route 200.200.200.0 255.255.255.0 172.16.99.1
Configurar el reloj de sistema.

a
El reloj de sistema puede ser configurado usando una gran variedad de mtodos. Puede
ser manualmente configurado, el tiempo puede ser obtenido de un origen NTP o desde un
subconjunto de NTP (SNTP). Es importante que todos los dispositivos tengan una exacta
sincronizacin para que los reportes de sistema sean exactos y validar los certificados
X.509 usados en una infraestructura de Llave pblica y una correcta correlacin en la
identificacin de ataques.
DLS1# show clock
*02:27:16.911 UTC Mon Mar 1 1993
b El comando show clock muestra la configuracin de reloj existente en el dispositivo.
En el DLS1, configurar manualmente el reloj de sistema usando el comando clock set.
DLS1# clock set ?
hh:mm:ss Current Time
DLS1# clock set 1:06:15 ?
<1-31> Day of the month
MONTH
Month of the year
DLS1# clock set 1:06:15 8 September ?
<1993-2035> Year
DLS1# clock set 1:06:15 8 September 2015
*Sep 8 01:06:15.000: %SYS-6-CLOCKUPDATE: System clock has been
updated from 02:32:45 UTC Mon Mar 1 1993 to 01:06:15 UTC Mon Sep 8
2014, configured from console by console.
c
Verificar que el reloj de sistema ha sido actualizado.
DLS1# show clock

01:06:32.070 UTC Mon Sep 8 2015
*02:27:16.911 UTC Mon Mar 1 1993
d
La zona de tiempo por defecto es UTC. Cambiar la zona de tiempo a EDT - 3. -3 es la

diferencia en horas desde UTC.

PDA
DLS1(config)# clock timezone ?

WORD name of time zone
DLS1(config)# clock timezone EDT ?
<-23 - 23> Hours offset from UTC
DLS1(config)# clock timezone EDT -3 ?
<0-59> Minutes offset from UTC
<cr>
DLS1(config)# clock timezone EDT -3
Sep 8 01:13:45.191: %SYS-6-CLOCKUPDATE: System clock has been updated
from 01:13:45 UTC Mon Sep 8 2015 to 20:13:45 EDT Sun Sep 7 2015,
configured from console by console.
DLS1(config)# clock summer-time ?
WORD name of time zone in summer
DLS1(config)# clock summer-time EDT ?
date
Configure absolute summer time
recurring Configure recurring summer time
DLS1(config)# clock summer-time EDT recurring
Sep 8 01:14:10.516: %SYS-6-CLOCKUPDATE: System clock has been updated
from 20:14:10 EDT Sun Sep 7 2014 to 21:14:10 EDT Sun Sep 7 2014,
configured from console by console.]
NOTE: This command used without parameters defaults to United States
rules.
Verificar la configuracin del reloj usando el comando show clock detail.
DLS1# show clock detail
21:14:31.395 EDT Sun Sep 7 2014
Time source is user configuration
Summer time starts 02:00:00 EDT Sun Mar 9 2014
Summer time ends 02:00:00 EDT Sun Nov 2 2014
Configurar NTP.
NTP es usado para asegurar la sincronizacin entre todos los dispositivos de la red. La
exactitud del tiempo puede ser obtenida de tres diferentes fuentes externas: reloj atmico,
receptor GPS y una fuente de tiempo exacta y de confianza. NTP se sincroniza usando el
puerto UDP 123. Todos los dispositivos deben ser configurados con NTP.
a. Configurar el DLS1 como la fuente de tiempo principal en la red (authoritative time source)
usando el comando ntp master.
DLS1(config)# ntp master ?

PDA
<1-15>
Stratum number
<cr>
Este comando debe ser usado slo si no se tiene una referencia externa confiable. Se
usar el comando ntp master stratum_number en el modo de configuracin. El nmero de
stratum debe ser configurado con un nmero alto en el caso que no exista una fuente de
tiempo confiable. Un equipo ejecutando NTP automticamente selecciona el equipo con el
menor nmero de stratum para comunicarse usando NTP. Mientras menor es este valor,
ms confiable es la exactitud de la fuente.
DLS1(config)# ntp master 10
Es recomendable que ms de un dispositivo sea designado como servidor NTP. Si se hace
esto, se puede usar el comando ntp server 200.200.200.1 prefer, por ejemplo.
b. Configurar DLS2, ALS1 y ALS2 para sincronizarse a DLS1 usando el comando ntp
server A.B.C.D (Direccin IP o Peer). La sincronizacin NTP siempre debe hacerse
sobre la interface ms estable. La mejor eleccin es una interface loopback. Adems, el
tiempo local debe ser configurado en cada dispositivo.
DLS2(config)# ntp server ?
A.B.C.D
IP address of peer
WORD
Hostname of peer
X:X:X:X::X IPv6 address of peer
ip
Use IP for DNS resolution
ipv6
Use IPv6 for DNS resolution
vrf
VPN Routing/Forwarding Information
DLS2(config)# ntp server 200.200.200.1
DLS2(config)# clock timezone EDT -5
Mar 1 00:48:25.968: %SYS-6-CLOCKUPDATE: System clock has been
updated from 00:48:25 UTC Mon Mar 1 1993 to 20:48:25 EDT Sun Feb 28
1993, configured from console by console.
DLS2(config)# clock summer-time ?
WORD
name of time zone in summer
DLS2(config)# clock summer-time EDT recurring

Mar 1 00:54:36.589: %SYS-6-CLOCKUPDATE: System clock has been
updated from 20:54:36 EDT Sun Feb 28 1993 to 20:54:36 EDT Sun Feb
28 1993, configured from console by console.
NOTA: Repetir estos comandos en ALS1 y ALS2.
Verificar NTP
DLS2# show ntp status

Clock is synchronized, stratum 11, reference is 200.200.200.1
nominal freq is 119.2092 Hz, actual freq is 119.2101 Hz, precision is
2**17
reference time is AF3CE6C4.CD93512C (14:47:16.803 EDT Mon Mar 1 1993)
clock offset is -4.5084 msec, root delay is 2.03 msec
root dispersion is 7944.53 msec, peer dispersion is 2.14 msec
loopfilter state is 'CTRL' (Normal Controlled Loop), drift is
-0.000007161 s/s

PDA
system poll interval is 64, last update was 2 sec ago.Outputs for ALS1
and ALS2 should be similar to the output displayed above for DLS2.
The stratum will be +1 from the stratum value used on the master in the network. In this lab
scenario, we use ntp master 10. This indicates a stratum of 10 + 1 = 11. The stratum 11 is
indicated in the show output.
NOTA: NTP puede demorar hasta 5 minutos en sincronizarse.
Asegurar la operacin de NTP usando Listas de Acceso y Autenticacin

Los servidores de tiempo pueden proveer servicios de sincronizacin en todas las direcciones
hacia otros equipos de la red. Un servidor NTP falso puede provocar problemas en la red al
sincronizar de distinta manera uno y otro dispositivo. Adems, un cliente falso puede inundar un
servidor con miles de solicitudes de sincronizacin falsas. Configurar una lista de acceso tal que
las peticiones solo provengan de los miembros de la red 172.16.0.0/16. El NTP master solo puede
permitir el acceso a los equipos con direccin IP 127.127.x.1.
Adems, la operacin de NTP puede ser asegurada usando autenticacin MD5. La autenticacin
es habilitada con el comando ntp authenticate. Las claves de autenticacin son definidas
usando el comando ntp authentication-key.
Configurar la autenticacin NTP en el servidor NTP.

DLS1(config)# ntp authenticate
DLS1(config)# ntp authentication-key 1 md5 P@55word
DLS1(config)# ntp trusted-key 1
Configurar la autenticacin NTP en los clientes NTP (DLS2, ALS1, ALS2).

DLS2(config)# ntp authentication-key 1 md5 P@55word
DLS2(config)# ntp authenticate
DLS2(config)# ntp trusted-key 1
Usar el comando show ntp status para verificar la sincronizacin.
nominal freq is 119.2092 Hz, actual freq is 119.2106 Hz, precision
is 2**17
reference time is D7C2D495.6AD26EF6 (12:24:05.417 EDT Tue Sep 16
2014)
-0.000011269 s/s
system poll interval is 128, last update was 35 sec ago.
a. Repetir este comando en ALS1 y ALS2
Controlar el acceso NTP usando Listas de Acceso

Revisar la salida del comando show ntp associations. Si el dispositivo es configurado
como NTP master, entonces se debe permitir el acceso como IP de origen a la 127.127.x.1,

PDA
debido a que esta es la IP interna del servidor.

DLS1# sh ntp associations
address
ref clock
st
when
poll reach delay
offset
disp
*~127.127.1.1
.LOCL.
9
0
16
377 0.000
0.000 0.241
* sys.peer, # selected, + candidate, - outlyer, x falseticker, ~
configured
Usar los siguientes comandos para asegurar que solo los dispositivos de la red 172.16.0.0 /16
estn habilitados para reunir o enviar peticiones al servidor NTP. El comando ntp accessgroup peer permite a los dispositivos sincronizarse con dispositivos remotos que pasan la
lista de acceso.
DLS1(config)# access-list 1 permit 127.127.1.1
DLS1(config)# access-list 2 permit 172.16.0.0 0.0.255.255
DLS1(config)# ntp access-group peer ?
<1-99>
Standard IP access list
<1300-1999> Standard IP access list (expanded range)
WORD
Named access list
DLS1(config)# ntp access-group peer 1
DLS1(config)# ntp access-group ?
peer
access
query-only Allow only control queries
serve
Provide server and query access
serve-only Provide only server access
Provide full
DLS1(config)# ntp access-group serve-only 2
Verificar NTP en todos los dispositivos.

Usar los comandos show ntp associations, show ntp status, show clock detail para
verificar la sincronizacin y configuracin a travs de la red de campus.
nominal freq is 119.2092 Hz, actual freq is 119.2092 Hz, precision
is 2**17
reference time is D7BD8B98.3BCA053A (11:11:20.233 EDT Fri Sep 12
2014)
clock offset is 0.0000 msec, root delay is 0.00 msec
0.000000000 s/s
DLS1# show ntp associations
address
offset
disp
ref clock
st
when
poll reach
delay

PDA
*~127.127.1.1
.LOCL.
9
12
16
1 0.000
0.000 7937.5
configured
11:11:38.268 EDT Fri Sep 12 2014
Time source is NTP
Comparar la salida de DLS2 con la ALS1 y ALS2.
2**17
reference time is D7BDB443.388A60FB (15:04:51.220 EDT Fri Sep 12 2014)
-0.000002674 s/s
DLS2# show ntp associations
address
ref clock
st
when
poll reach delay
offset
disp
*~200.200.200.1
127.127.1.1
10
18
64
377 1.414
-10.754 3.427
configured
15:08:32.977 EDT Fri Sep 12 2014
Time source is NTP
ALS1# show ntp status
2**17
reference time is D7BDB481.693FE416 (18:05:53.411 UTC Fri Sep 12 2014)
-0.000004084 s/s
ALS1# show ntp associations
address
offset
disp
*~200.200.200.1
-12.959 4.455
ref clock
st
when
127.127.1.1
10
49
poll reach
64
377
delay
1.590

PDA

configured
ALS1# show clock detail
18:12:11.276 UTC Fri Sep 12 2014
Time s
ALS2# show ntp status
2**17
reference time is D7BDB418.17E9DD27 (18:04:08.093 UTC Fri Sep 12 2014)
-0.000004397 s/s
ALS2# show clock detail
18:11:22.236 UTC Fri Sep 12 2014
Time source is NTP

Lab Sincronizacion de Dispositivos de Campus Usando NTP

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Lab Sincronizacion de Dispositivos de Campus Usando NTP

Uploaded by

Copyright:

Available Formats

Escuela de Informtica y Telecomunicaciones

2 switches (Cisco 2960 con Cisco IOS Release

2 switches (Cisco 3560 con Cisco IOS Release

Cables Ethernet y consolas

4 PC's conectados a la topologa de acuerdo al

Escuela de Informtica y Telecomunicaciones

Configurar los parmetros bsicos del Switch.

Configurar los troncales y EtherChannels entre los switchs.

Escuela de Informtica y Telecomunicaciones

switchport trunk native vlan 666

Vlans allowed on trunk

Vlans allowed and active in management domain

Vlans in spanning tree forwarding state and not pruned

not in use, minimum links not met

Number of channel-groups in use: 3

Configurar VTP en el DLS2, ALS1 y ALS2.

Escuela de Informtica y Telecomunicaciones

Configurar VTP en DLS1.

NOTA: Los Switches se encuentran por defecto en el modo SERVER.

Escuela de Informtica y Telecomunicaciones

DLS1(config-vlan)# vlan 666

Configurar los puertos de acceso.

Configurar SVIs para las interfaces L3 y habilitar el enrutamiento.

Escuela de Informtica y Telecomunicaciones

DLS2(config)# interface vlan 10

Configurar el reloj de sistema.

Verificar que el reloj de sistema ha sido actualizado.

DLS1# show clock

La zona de tiempo por defecto es UTC. Cambiar la zona de tiempo a EDT - 3. -3 es la

Escuela de Informtica y Telecomunicaciones

DLS1(config)# clock timezone ?

Escuela de Informtica y Telecomunicaciones

name of time zone in summer

DLS2(config)# clock summer-time EDT recurring

DLS2# show ntp status

Escuela de Informtica y Telecomunicaciones

Asegurar la operacin de NTP usando Listas de Acceso y Autenticacin

Configurar la autenticacin NTP en el servidor NTP.

Configurar la autenticacin NTP en los clientes NTP (DLS2, ALS1, ALS2).

Controlar el acceso NTP usando Listas de Acceso

Escuela de Informtica y Telecomunicaciones

debido a que esta es la IP interna del servidor.

DLS1(config)# ntp access-group serve-only 2

Verificar NTP en todos los dispositivos.

Escuela de Informtica y Telecomunicaciones

Escuela de Informtica y Telecomunicaciones

* sys.peer, # selected, + candidate, - outlyer, x falseticker, ~

You might also like