Sincronize seus roteadores
Sincronizando roteadores
É de extrema importância que roteadores possuam sempre a hora correta, de forma a facilitar a compreensão de seus LOGs em caso de incidentes ou falhas técnicas. Para isso, deve-se manter configurado o NTP nestes equipamentos, garantindo que eles estejam sincronizados com a Hora Legal Brasileira.
Cisco
Para realizar essas configurações, assumiremos que seu roteador Cisco já está com IPv4 e IPv6 configurado e com acesso à internet.
Configure os servidores na configuração global por meio do comando configure terminal
. Em seguida, adicione os servidores do NTP.br, precedendo-os pelas diretivas ntp server
, conforme exemplo a seguir:
ntp server 2001:12ff::8 ntp server 2001:12f8:9:1::8 ntp server 2001:12f8:b:1::8 ntp server 2001:12ff:0:7::186 ntp server 2001:12ff:0:7::193 ntp server 200.160.0.8 ntp server 200.189.40.8 ntp server 200.192.232.8 ntp server 200.160.7.186 ntp server 200.160.7.193 ntp server 200.20.186.76 ntp server 200.186.125.195 ntp server 201.49.148.135
Caso o protocolo IPv6 não esteja habilitado em seu roteador, recomenda-se habilitá-lo. Se isso não for possível, pode-se utilizar apenas os servidores com endereços IPv4, conforme exemplo a seguir:
ntp server 200.160.0.8 ntp server 200.189.40.8 ntp server 200.192.232.8 ntp server 200.160.7.186 ntp server 200.160.7.193 ntp server 200.20.186.76 ntp server 200.186.125.195 ntp server 201.49.148.135
O próximo passo, será adicionar algumas regras à access-list do roteador, que funciona como um firewall. Essas regras farão com que seu roteador deixe de ser um servidor ntp e atue somente como um cliente, bloqueando as requisições que usam o protocolo NTP. Em primeiro lugar, segue o exemplo de configuração para IPv6:
ntp access-group ntp-ipv6 ipv6 access-list ntp-ipv6 permit ipv6 host 2001:12ff::8 any permit ipv6 host 2001:12ff:0:7::186 any permit ipv6 host 2001:12ff:0:7::193 any permit ipv6 host 2001:12f8:9:1::8 any permit ipv6 host 2001:12f8:b:1::8 any ipv6 deny any any
Em seguida, as configurações para IPv4. Caso o roteador não utilize IPv6 ainda e não seja possível habilitá-lo, use apenas essas configurações:
ntp access-group query-only 1 ntp access-group serve 1 ntp access-group peer 10 ntp access-group serve-only 20 access-list 1 deny any access-list 10 permit 200.160.0.8 access-list 10 permit 200.189.40.8 access-list 10 permit 200.192.232.8 access-list 10 permit 200.160.7.193 access-list 10 permit 200.160.7.186 access-list 10 permit 201.49.148.135 access-list 10 permit 200.186.125.195 access-list 10 permit 200.20.186.76 access-list 10 deny any access-list 20 deny any
Indique a interface que será utilizada para o ntp
ntp source Loopback0
Recomendamos que utilize a loopback, pois ela é uma interface que estará sempre disponível.
O comando show ntp status
mostra se o relógio está sincronizado, o estrato , o offset e o delay:
show ntp status
Clock is synchronized, stratum 2, reference is 200.160.7.193 nominal freq is 250.0000 Hz, actual freq is 250.0000 Hz, precision is 2**24 reference time is D94E7D01.5798E091 (15:08:01.342 adt Mon Jul 13 2015) clock offset is -0.1171 msec, root delay is 0.00 msec root dispersion is 0.13 msec, peer dispersion is 0.00 msec loopfilter state is 'CTRL' (Normal Controlled Loop), drift is -0.000000275 s/s system poll interval is 64, last update was 5 sec ago.
É possível verificar o funcionamento do ntp através do comando show ntp associations
, o qual mostra ao usuário todos os servidores ntp utilizados em seu roteador e alguns dados importantes, como o estrato (que representa o nível hierárquico dos servidores, e que quanto menor o seu valor, mais confiável é a informação) , o reach (que se for diferente de 377, indica que a consulta ao servidores não foi bem sucedida), o delay (que representa o tempo gasto, em milissegundos, para os pacotes irem até o servidor e voltar) e o offset (que mede por milissegundos, o quanto o relógio deve ser adiantado ou atrasado para alcançar a hora legal, e que, quanto mais próximo de zero, melhor).
show ntp associations
address ref clock st when poll reach delay offset disp ~201.49.148.135 .STEP. 16 - 256 0 0.000 0.000 15937. ~200.160.0.8 200.160.7.186 2 7 64 377 0.000 -96.189 3.260 ~200.189.40.8 200.160.7.186 2 37 64 377 0.000 -107.67 1.756 ~200.192.232.8 200.160.7.186 2 58 64 377 0.000 -106.31 2.009 *~200.160.7.186 .ONBR. 1 61 64 377 0.000 -96.809 3.633 +~200.160.7.193 .GPS. 1 64 64 377 0.000 -105.64 2.902 +~200.186.125.195 .ONBR. 1 16 64 377 0.000 -104.37 2.104 ~200.20.186.76 .ONBR. 1 50 64 43 0.000 -106.67 1938.5 +~2001:12FF:0:7::193 .GPS. 1 26 64 377 0.000 -103.89 3.173 ~2001:12FF::8 200.160.7.186 2 19 64 357 0.000 -99.797 2.663 +~2001:12FF:0:7::186 .ONBR. 1 59 64 377 0.000 -84.556 4.648
Juniper
Para realizar esta configuração, assumiremos que você possui um roteador Juniper, já configurado com IPv4 e IPv6 e com acesso à Internet.
Acesse o modo de configuração com o comando configure
. Entre na edição do serviço NTP com o comando edit system ntp
.
configure edit system ntp
Caso sua rede possua somente IPv4, adicione o servidor responsável pela inicialização do NTP com o comando:
set boot-server 200.160.7.186
Caso sua rede possua IPv6, é recomendável utiliza-lo. Para isso utilize o comando:
set boot-server 2001:12ff:0:7::186
Agora, entre com os comandos a seguir para adicionar os servidores do NTP.br que manterão o seu roteador permanentemente sincronizado:
set server 2001:12ff::8 set server 2001:12f8:9:1::8 set server 2001:12f8:b:1::8 set server 2001:12ff:0:7::186 set server 2001:12ff:0:7::193 set server 200.160.7.186 set server 201.49.148.135 set server 200.186.125.195 set server 200.20.186.76 set server 200.160.0.8 set server 200.189.40.8 set server 200.192.232.8 set server 200.160.7.193
Caso não utilize IPv6, verifique a possibilidade de habilitá-lo. Caso não seja possível, pode utilizar apenas os endereços legados, à seguir:
set server 200.160.7.186 set server 201.49.148.135 set server 200.186.125.195 set server 200.20.186.76 set server 200.160.0.8 set server 200.189.40.8 set server 200.192.232.8 set server 200.160.7.193
Entre com o comando commit
para salvar e aplicar as alterações.
commit
Se a configuração estiver correta, a seguinte mensagem será exibida:
commit complete
Entre com o comando exit
até sair do modo de configuração. Você poderá então verificar o status da sincronização com os seguintes comandos:
O comando show ntp status
exibe informações da versão do NTP instalada , versão o sistema , o atraso do relógio, entre outras informações:
show ntp status
status=0664 leap_none, sync_ntp, 6 events, event_peer/strat_chg, version="ntpd 4.2.0-a Wed Oct 24 22:13:20 UTC 2012 (1)", precessor="octeon", system="JUNOS12.1R4.7", leap=00, stratum=2, precision=-16, rootdelay=2.745, rootdispersion=13.410, peer=62919, refid=200.160.7.193, reftime=d9455ceb.1097bb3b Mon, Jul 6 2015 20:00:43.064, poll=6, clock=d9455d80.28a6efbf Mon, Jul 6 2015 20:03:12.158, state=4, offset=0.663, frequency=7.391, jitter=0.488, stability=0.001
O comando show ntp associations
exibe informações da sincronização referentes a cada servidor NTP:
show ntp associations
remote refid st t when poll reach delay offset jitter ============================================================================== +a.ntp.br 200.160.7.186 2 u 171 256 377 0.932 -1.562 0.148 -b.ntp.br 200.20.186.76 2 u 122 256 377 7.879 -2.170 0.112 +c.ntp.br 200.160.7.186 2 u 162 256 377 28.137 -1.627 0.138 *gps.ntp.br .GPS. 1 u 41 256 377 0.790 -1.712 0.244 +a.st1.ntp.br .ONBR. 1 u 147 256 377 0.852 -1.724 0.272 201.49.148.135 .INIT. 16 u - 1024 0 0.000 0.000 0.000 +c.st1.ntp.br .ONBR. 1 u 99 256 377 7.592 -1.597 0.116 +d.st1.ntp.br .ONBR. 1 u 121 256 377 8.454 -1.537 0.544
Mikrotik
Para realizar esta configuração, assumiremos que você possui um roteador Mikrotik, já configurado com IPv4 e IPv6 e com acesso à Internet.
Existem duas formas de realizar a mesma configuração: através do aplicativo WinBox ou do terminal.
Caso deseje realizar a configuração através do WinBox faça o seguinte:
No menu lateral, clique em System
e então em NTP Client
.
Nesta janela, marque a opção Enabled
e insira no campo Primary NTP Server
o endereço 2001:12ff::8 e em Secondary NTP Server
o endereço 200.189.40.8. Eles representam os servidores a.ntp.br
e b.ntp.br
respectivamente.
Acessando a mesma janela novamente após algum tempo, pode-se notar o status syncronized na parte de baixo. Este status indica que a sincronização completa ocorreu com êxito.
Caso deseje realizar a configuração através do terminal, faça o seguinte:
Entre na edição do NTP com o comando system ntp client
:
system ntp client
Para adicionar os servidores entre com o seguinte comando:
set enabled=yes primary-ntp=2001:12ff::8 secondary-ntp=200.189.40.8
Para ver as configurações, entre com o comando print
. O resultado esperado será o seguinte:
enabled: yes mode: unicast primary-ntp: 2001:12ff::8 secondary-ntp: 200.189.40.8 status: synchronized
Note que o status synchronized
pode demorar algum tempo após a inserção das configurações.