Guia Roteadores




Sincronizando roteadores


É de extrema importância que roteadores possuam sempre a hora correta, de forma a facilitar a compreensão de seus LOGs em caso de incidentes ou falhas técnicas. Para isso, deve-se manter configurado o NTP nestes equipamentos, garantindo que eles estejam sincronizados com a hora legal brasileira.

Cisco

Para realizar essas configurações, assumiremos que seu roteador Cisco já está com IPv4 e IPv6 configurado e com acesso à internet.

Configure os servidores na configuração global através do comando configure terminal. Logo após, adicione os servidores do ntp.br, os quais devem conter a o termo ntp server, antes:

	ntp server 200.160.0.8
	ntp server 200.189.40.8
	ntp server 200.192.232.8
	ntp server 200.160.7.186
	ntp server 200.160.7.193
	ntp server 200.20.186.76
	ntp server 200.186.125.195
	ntp server 201.49.148.135
	ntp server 2001:12ff::8
	ntp server 2001:12ff:0:7::186
	ntp server 2001:12ff:0:7::193

Caso o protocolo IPv6 não esteja habilitado em seu roteador, os três últimos servidores não devem ser adicionados.


O próximo passo, será adicionar algumas regras a access-list do roteador, que funciona como um firewall. Essas regras farão com que seu roteador deixe de ser um servidor ntp e atue somente como um cliente, negando requisições de hora. Esses bloqueios podem ser feitos através dos seguintes comandos:

	ntp access-group query-only 1
	ntp access-group serve 1
	ntp access-group peer 10
	ntp access-group serve-only 20

	access-list 1 deny any
	access-list 10 permit 200.160.0.8 
	access-list 10 permit 200.189.40.8
	access-list 10 permit 200.192.232.8
	access-list 10 permit 200.160.7.193
	access-list 10 permit 200.160.7.186
	access-list 10 permit 201.49.148.135
	access-list 10 permit 200.186.125.195
	access-list 10 permit 200.20.186.76
	access-list 10 deny any
	access-list 20 deny any

Caso você possua IPv6 configurado em seu roteador, será necessário utilizar as regras abaixo para que seu roteador negue requisições de hora.

	ntp access-group ntp-ipv6
	ipv6 access-list ntp-ipv6
	permit ipv6 host 2001:12ff::8 any
	permit ipv6 host 2001:12ff:0:7::186 any
	permit ipv6 host 2001:12ff:0:7::193 any
	ipv6 deny any any
	exit

Indique a interface que será utilizada para o ntp

	ntp source Loopback0

Recomendamos que utilize a loopback, pois ela é uma interface que estará sempre disponível.

O comando show ntp status mostra se o relógio está sincronizado, o estrato , o offset e o delay:

	show ntp status  
Clock is synchronized, stratum 2, reference is 200.160.7.193
nominal freq is 250.0000 Hz, actual freq is 250.0000 Hz, precision is 2**24
reference time is D94E7D01.5798E091 (15:08:01.342 adt Mon Jul 13 2015)
clock offset is -0.1171 msec, root delay is 0.00 msec
root dispersion is 0.13 msec, peer dispersion is 0.00 msec
loopfilter state is 'CTRL' (Normal Controlled Loop), drift is -0.000000275 s/s
system poll interval is 64, last update was 5 sec ago.

É possível verificar o funcionamento do ntp através do comando show ntp associations, o qual mostra ao usuário todos os servidores ntp utilizados em seu roteador e alguns dados importantes, como o estrato (que representa o nível hierárquico dos servidores, e que quanto menor o seu valor, mais confiável é a informação) , o reach (que se for diferente de 377, indica que a consulta ao servidores não foi bem sucedida), o delay (que representa o tempo gasto, em milissegundos, para os pacotes irem até o servidor e voltar) e o offset (que mede por milissegundos, o quanto o relógio deve ser adiantado ou atrasado para alcançar a hora legal, e que, quanto mais próximo de zero, melhor).

    show ntp associations 
  address         	ref clock       st   when   poll reach  delay  offset   disp
 ~201.49.148.135        .STEP.          16      -    256     0  0.000   0.000 15937.
 ~200.160.0.8           200.160.7.186    2      7     64   377  0.000 -96.189  3.260
 ~200.189.40.8          200.160.7.186    2     37     64   377  0.000 -107.67  1.756
 ~200.192.232.8         200.160.7.186    2     58     64   377  0.000 -106.31  2.009
*~200.160.7.186         .ONBR.           1     61     64   377  0.000 -96.809  3.633
+~200.160.7.193         .GPS.            1     64     64   377  0.000 -105.64  2.902
+~200.186.125.195       .ONBR.           1     16     64   377  0.000 -104.37  2.104
 ~200.20.186.76         .ONBR.           1     50     64    43  0.000 -106.67 1938.5
+~2001:12FF:0:7::193    .GPS.            1     26     64   377  0.000 -103.89  3.173
 ~2001:12FF::8          200.160.7.186    2     19     64   357  0.000 -99.797  2.663
+~2001:12FF:0:7::186    .ONBR.           1     59     64   377  0.000 -84.556  4.648

Pronto! Seu roteador Cisco está configurado e logo, estará sincronizado com a hora legal brasileira.

O video tutorial a seguir, demonstra como sincronizar a hora do seu roteador Cisco, utilizando os servidores do projeto NTP.br.





Juniper

Para realizar esta configuração, assumiremos que você possui um roteador Juniper, já configurado com IPv4 e IPv6 e com acesso à Internet.

Acesse o modo de configuração com o comando configure. Entre na edição do serviço NTP com o comando edit system ntp.

	Configure
	edit system ntp

Caso sua rede possua somente IPv4, adicione o servidor responsável pela inicialização do NTP com o comando:

	set boot-server 200.160.7.186

Caso sua rede possua IPv6, é recomendável utiliza-lo. Para isso utilize o comando:

	set boot-server 2001:12ff:0:7::186

Agora, entre com os comandos a seguir para adicionar os servidores do NTP.br que manterão o seu roteador permanentemente sincronizado:

	set server 200.160.7.186
	set server 201.49.148.135
	set server 200.186.125.195
	set server 200.20.186.76
	set server 200.160.0.8
	set server 200.189.40.8
	set server 200.192.232.8
	set server 200.160.7.193

Caso sua rede possua IPv6, execute também os seguintes comandos:

	set server 2001:12ff:0:7::186
	set server 2001:12ff::8
	set server 2001:12ff:0:7::193

Entre com o comando commit para salvar e aplicar as alterações.

	commit

Se a configuração estiver correta, a seguinte mensagem será exibida:

commit complete

Entre com o comando exit até sair do modo de configuração. Você poderá então verificar o status da sincronização com os seguintes comandos:


O comando show ntp status exibe informações da versão do NTP instalada , versão o sistema , o atraso do relógio, entre outras informações:

	show ntp status
status=0664 leap_none, sync_ntp, 6 events, event_peer/strat_chg,
version="ntpd 4.2.0-a Wed Oct 24 22:13:20 UTC 2012 (1)", precessor="octeon",
system="JUNOS12.1R4.7", leap=00, stratum=2, precision=-16, rootdelay=2.745,
rootdispersion=13.410, peer=62919, refid=200.160.7.193,
reftime=d9455ceb.1097bb3b Mon, Jul  6 2015 20:00:43.064, poll=6,
clock=d9455d80.28a6efbf  Mon, Jul  6 2015 20:03:12.158, state=4, offset=0.663,
frequency=7.391, jitter=0.488, stability=0.001

O comando show ntp associations exibe informações da sincronização referentes a cada servidor NTP:

	show ntp associations
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
+a.ntp.br        200.160.7.186    2 u  171  256  377    0.932   -1.562   0.148
-b.ntp.br        200.20.186.76    2 u  122  256  377    7.879   -2.170   0.112
+c.ntp.br        200.160.7.186    2 u  162  256  377   28.137   -1.627   0.138
*gps.ntp.br      .GPS.            1 u   41  256  377    0.790   -1.712   0.244
+a.st1.ntp.br    .ONBR.           1 u  147  256  377    0.852   -1.724   0.272
 201.49.148.135  .INIT.          16 u    - 1024    0    0.000    0.000   0.000
+c.st1.ntp.br    .ONBR.           1 u   99  256  377    7.592   -1.597   0.116
+d.st1.ntp.br    .ONBR.           1 u  121  256  377    8.454   -1.537   0.544


Pronto! Seu roteador Juniper está configurado e sincronizado com a hora legal brasileira.

O video tutorial a seguir, demonstra como sincronizar a hora do seu roteador Juniper, utilizando os servidores do projeto NTP.br.





Mikrotik

Para realizar esta configuração, assumiremos que você possui um roteador Mikrotik, já configurado com IPv4 e IPv6 e com acesso à Internet.

Existem duas formas de realizar a mesma configuração: através do aplicativo WinBox ou do terminal.

Caso deseje realizar a configuração através do WinBox faça o seguinte:

No menu lateral, clique em System e então em NTP Client.



Nesta janela, marque a opção Enabled e insira no campo Primary NTP Server o endereço 2001:12ff::8 e em Secondary NTP Server o endereço 200.189.40.8. Eles representam os servidores a.ntp.br e b.ntp.br respectivamente.



Acessando a mesma janela novamente após algum tempo, pode-se notar o status syncronized na parte de baixo. Este status indica que a sincronização completa ocorreu com êxito.



Pronto! Seu roteador Mikrotik já está configurado para sincronizar a hora correta de acordo com o projeto NTP.br.

Caso deseje realizar a configuração através do terminal, faça o seguinte:

Entre na edição do NTP com o comando system ntp client:

	system ntp client

Para adicionar os servidores entre com o seguinte comando:

	set enabled=yes primary-ntp=2001:12ff::8 secondary-ntp=200.189.40.8

Para ver as configurações, entre com o comando print. O resultado esperado será o seguinte:

	print
enabled: yes
mode: unicast
primary-ntp: 2001:12ff::8
secondary-ntp: 200.189.40.8
status: synchronized

Note que o status synchronized pode demorar algum tempo após a inserção das configurações.

Pronto! Seu roteador Mikrotik está configurado e sincronizado com a hora legal brasileira.

O video tutorial a seguir, demonstra como sincronizar a hora do seu roteador Mikrotik, utilizando os servidores do projeto NTP.br.