Sincronize seus roteadores




Sincronizando roteadores


É de extrema importância que roteadores possuam sempre a hora correta, de forma a facilitar a compreensão de seus LOGs em caso de incidentes ou falhas técnicas. Para isso, deve-se manter configurado o NTP nestes equipamentos, garantindo que eles estejam sincronizados com a Hora Legal Brasileira.

Cisco

Para realizar essas configurações, assumiremos que seu roteador Cisco já está com IPv4 e IPv6 configurado e com acesso à internet.

Configure os servidores na configuração global por meio do comando configure terminal. Em seguida, adicione os servidores do NTP.br, precedendo-os pelas diretivas ntp server, conforme exemplo a seguir:

ntp server 2001:12ff::8
ntp server 2001:12f8:9:1::8
ntp server 2001:12f8:b:1::8
ntp server 2001:12ff:0:7::186
ntp server 2001:12ff:0:7::193
ntp server 200.160.0.8
ntp server 200.189.40.8
ntp server 200.192.232.8
ntp server 200.160.7.186
ntp server 200.160.7.193
ntp server 200.20.186.76
ntp server 200.186.125.195
ntp server 201.49.148.135

Caso o protocolo IPv6 não esteja habilitado em seu roteador, recomenda-se habilitá-lo. Se isso não for possível, pode-se utilizar apenas os servidores com endereços IPv4, conforme exemplo a seguir:

ntp server 200.160.0.8
ntp server 200.189.40.8
ntp server 200.192.232.8
ntp server 200.160.7.186
ntp server 200.160.7.193
ntp server 200.20.186.76
ntp server 200.186.125.195
ntp server 201.49.148.135

O próximo passo, será adicionar algumas regras à access-list do roteador, que funciona como um firewall. Essas regras farão com que seu roteador deixe de ser um servidor ntp e atue somente como um cliente, bloqueando as requisições que usam o protocolo NTP. Em primeiro lugar, segue o exemplo de configuração para IPv6:

ntp access-group ntp-ipv6
ipv6 access-list ntp-ipv6
permit ipv6 host 2001:12ff::8 any
permit ipv6 host 2001:12ff:0:7::186 any
permit ipv6 host 2001:12ff:0:7::193 any
permit ipv6 host 2001:12f8:9:1::8 any
permit ipv6 host 2001:12f8:b:1::8 any
ipv6 deny any any

Em seguida, as configurações para IPv4. Caso o roteador não utilize IPv6 ainda e não seja possível habilitá-lo, use apenas essas configurações:

ntp access-group query-only 1
ntp access-group serve 1
ntp access-group peer 10
ntp access-group serve-only 20

access-list 1 deny any
access-list 10 permit 200.160.0.8
access-list 10 permit 200.189.40.8
access-list 10 permit 200.192.232.8
access-list 10 permit 200.160.7.193
access-list 10 permit 200.160.7.186
access-list 10 permit 201.49.148.135
access-list 10 permit 200.186.125.195
access-list 10 permit 200.20.186.76
access-list 10 deny any
access-list 20 deny any

Indique a interface que será utilizada para o ntp

ntp source Loopback0

Recomendamos que utilize a loopback, pois ela é uma interface que estará sempre disponível.

O comando show ntp status mostra se o relógio está sincronizado, o estrato , o offset e o delay:

show ntp status
Clock is synchronized, stratum 2, reference is 200.160.7.193
nominal freq is 250.0000 Hz, actual freq is 250.0000 Hz, precision is 2**24
reference time is D94E7D01.5798E091 (15:08:01.342 adt Mon Jul 13 2015)
clock offset is -0.1171 msec, root delay is 0.00 msec
root dispersion is 0.13 msec, peer dispersion is 0.00 msec
loopfilter state is 'CTRL' (Normal Controlled Loop), drift is -0.000000275 s/s
system poll interval is 64, last update was 5 sec ago.

É possível verificar o funcionamento do ntp através do comando show ntp associations, o qual mostra ao usuário todos os servidores ntp utilizados em seu roteador e alguns dados importantes, como o estrato (que representa o nível hierárquico dos servidores, e que quanto menor o seu valor, mais confiável é a informação) , o reach (que se for diferente de 377, indica que a consulta ao servidores não foi bem sucedida), o delay (que representa o tempo gasto, em milissegundos, para os pacotes irem até o servidor e voltar) e o offset (que mede por milissegundos, o quanto o relógio deve ser adiantado ou atrasado para alcançar a hora legal, e que, quanto mais próximo de zero, melhor).

show ntp associations 
  address         	ref clock       st   when   poll reach  delay  offset   disp
 ~201.49.148.135        .STEP.          16      -    256     0  0.000   0.000 15937.
 ~200.160.0.8           200.160.7.186    2      7     64   377  0.000 -96.189  3.260
 ~200.189.40.8          200.160.7.186    2     37     64   377  0.000 -107.67  1.756
 ~200.192.232.8         200.160.7.186    2     58     64   377  0.000 -106.31  2.009
*~200.160.7.186         .ONBR.           1     61     64   377  0.000 -96.809  3.633
+~200.160.7.193         .GPS.            1     64     64   377  0.000 -105.64  2.902
+~200.186.125.195       .ONBR.           1     16     64   377  0.000 -104.37  2.104
 ~200.20.186.76         .ONBR.           1     50     64    43  0.000 -106.67 1938.5
+~2001:12FF:0:7::193    .GPS.            1     26     64   377  0.000 -103.89  3.173
 ~2001:12FF::8          200.160.7.186    2     19     64   357  0.000 -99.797  2.663
+~2001:12FF:0:7::186    .ONBR.           1     59     64   377  0.000 -84.556  4.648





Juniper

Para realizar esta configuração, assumiremos que você possui um roteador Juniper, já configurado com IPv4 e IPv6 e com acesso à Internet.

Acesse o modo de configuração com o comando configure. Entre na edição do serviço NTP com o comando edit system ntp.

configure
edit system ntp

Caso sua rede possua somente IPv4, adicione o servidor responsável pela inicialização do NTP com o comando:

set boot-server 200.160.7.186

Caso sua rede possua IPv6, é recomendável utiliza-lo. Para isso utilize o comando:

set boot-server 2001:12ff:0:7::186

Agora, entre com os comandos a seguir para adicionar os servidores do NTP.br que manterão o seu roteador permanentemente sincronizado:

set server 2001:12ff::8
set server 2001:12f8:9:1::8
set server 2001:12f8:b:1::8
set server 2001:12ff:0:7::186
set server 2001:12ff:0:7::193
set server 200.160.7.186
set server 201.49.148.135
set server 200.186.125.195
set server 200.20.186.76
set server 200.160.0.8
set server 200.189.40.8
set server 200.192.232.8
set server 200.160.7.193

Caso não utilize IPv6, verifique a possibilidade de habilitá-lo. Caso não seja possível, pode utilizar apenas os endereços legados, à seguir:

set server 200.160.7.186
set server 201.49.148.135
set server 200.186.125.195
set server 200.20.186.76
set server 200.160.0.8
set server 200.189.40.8
set server 200.192.232.8
set server 200.160.7.193

Entre com o comando commit para salvar e aplicar as alterações.

commit

Se a configuração estiver correta, a seguinte mensagem será exibida:

commit complete

Entre com o comando exit até sair do modo de configuração. Você poderá então verificar o status da sincronização com os seguintes comandos:

O comando show ntp status exibe informações da versão do NTP instalada , versão o sistema , o atraso do relógio, entre outras informações:

show ntp status
status=0664 leap_none, sync_ntp, 6 events, event_peer/strat_chg,
version="ntpd 4.2.0-a Wed Oct 24 22:13:20 UTC 2012 (1)", precessor="octeon",
system="JUNOS12.1R4.7", leap=00, stratum=2, precision=-16, rootdelay=2.745,
rootdispersion=13.410, peer=62919, refid=200.160.7.193,
reftime=d9455ceb.1097bb3b Mon, Jul  6 2015 20:00:43.064, poll=6,
clock=d9455d80.28a6efbf  Mon, Jul  6 2015 20:03:12.158, state=4, offset=0.663,
frequency=7.391, jitter=0.488, stability=0.001

O comando show ntp associations exibe informações da sincronização referentes a cada servidor NTP:

show ntp associations
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
+a.ntp.br        200.160.7.186    2 u  171  256  377    0.932   -1.562   0.148
-b.ntp.br        200.20.186.76    2 u  122  256  377    7.879   -2.170   0.112
+c.ntp.br        200.160.7.186    2 u  162  256  377   28.137   -1.627   0.138
*gps.ntp.br      .GPS.            1 u   41  256  377    0.790   -1.712   0.244
+a.st1.ntp.br    .ONBR.           1 u  147  256  377    0.852   -1.724   0.272
 201.49.148.135  .INIT.          16 u    - 1024    0    0.000    0.000   0.000
+c.st1.ntp.br    .ONBR.           1 u   99  256  377    7.592   -1.597   0.116
+d.st1.ntp.br    .ONBR.           1 u  121  256  377    8.454   -1.537   0.544




Mikrotik

Para realizar esta configuração, assumiremos que você possui um roteador Mikrotik, já configurado com IPv4 e IPv6 e com acesso à Internet.

Existem duas formas de realizar a mesma configuração: através do aplicativo WinBox ou do terminal.

Caso deseje realizar a configuração através do WinBox faça o seguinte:

No menu lateral, clique em System e então em NTP Client.

imagem mikrotik

Nesta janela, marque a opção Enabled e insira no campo Primary NTP Server o endereço 2001:12ff::8 e em Secondary NTP Server o endereço 200.189.40.8. Eles representam os servidores a.ntp.br e b.ntp.br respectivamente.

imagem mikrotik

Acessando a mesma janela novamente após algum tempo, pode-se notar o status syncronized na parte de baixo. Este status indica que a sincronização completa ocorreu com êxito.

imagem mikrotik

Caso deseje realizar a configuração através do terminal, faça o seguinte:

Entre na edição do NTP com o comando system ntp client:

system ntp client

Para adicionar os servidores entre com o seguinte comando:

set enabled=yes primary-ntp=2001:12ff::8 secondary-ntp=200.189.40.8

Para ver as configurações, entre com o comando print. O resultado esperado será o seguinte:

print
enabled: yes
mode: unicast
primary-ntp: 2001:12ff::8
secondary-ntp: 200.189.40.8
status: synchronized

Note que o status synchronized pode demorar algum tempo após a inserção das configurações.