IOS不响应NTP查询,除非客户端位于“对等”ACL中。
我已经在运行IOS 1520万的Cisco IOS设备上设置了NTP,这是用于测试的基本配置:
ip access-list standard IPV4-ACL-NTP-PEER
permit <UP.STREAM.NTP.SERVER> log
!
ip access-list standard IPV4-ACL-NTP-SERVE
permit any log
!
ip access-list standard IPV4-ACL-NTP-SERVE-ONLY
permit any log
!
ntp logging
ntp access-group peer IPV4-ACL-NTP-PEER
ntp access-group serve IPV4-ACL-NTP-SERVE
ntp access-group serve-only IPV4-ACL-NTP-SERVE-ONLY
ntp update-calendar
ntp server <UP.STREAM.NTP.SERVER>路由器可以与上游服务器同步,不会出现任何问题:
ROUTER#show ntp associations
address ref clock st when poll reach delay offset disp
*~<UP.STREAM.NTP.SERVER> .PPS. 1 73 256 377 0.660 0.060 2.591
* sys.peer, # selected, + candidate, - outlyer, x falseticker, ~ configured当我在linux机器上使用ntpd或ntpdate时,路由器不会响应ntp查询。我已经使用调试(和ACL日志)验证了数据包确实到达路由器并被NTP代码看到/处理,并且它们与相关的ACL相匹配。
只有“服务器”或“只服务”配置没有区别。
如果我将IPV4 4-ACL-NTP-PEER更改为包含客户端IP,路由器就会响应.
我已经阅读了许多不同的文档/指南,据我所能理解,我不应该需要(而不是不想)将客户端放到对等ACL中。
(我主要是想了解它为什么会这样工作,以及我做错了什么,而不仅仅是把IP放在对等ACL中,“让它正常工作”。)
我不控制上游NTP服务器,也不能使用身份验证。我也不控制(大部分)客户。
回答 1
Network Engineering用户
发布于 2016-04-02 09:17:53
在路由器上执行从15.2M到12.2SRE的“侧档”之后,下面的配置现在可以工作了:
access-list 80 permit <UP.STREAM.NTP.SERVER> log
access-list 81 permit <MY.CLIENT.NETWORK> log
ntp logging
ntp access-group peer 80
ntp access-group serve-only 81
ntp update-calendar
ntp server <UP.STREAM.NTP.SERVER>..of课程,从15.2M到12.2SRE意味着不再有任何IPv6支持,但它证明了问题是IOS回归。我会尽快尝试最新的1520万张机票,如果问题持续存在,我将向交谘会开出一张罚单。
https://networkengineering.stackexchange.com/questions/29091
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号