Tomsk Sysadmins Forum

Оборудование => Cisco => Topic started by: kden on September 15, 2010, 17:40:33

Title: Проблема при навешивании ACL на NTP в Cisco
Post by: kden on September 15, 2010, 17:40:33

При настройке NTP по рекомендациям Cisco SAFE появляется в логах большое число сообщений вида

000600: Sep 13 11:16:21.106 TSD: %SEC-6-IPACCESSLOGNP: list 10 denied 0 192.168.13.246 -> 0.0.0.0, 1 packet
000601: Sep 13 11:19:21.108 TSD: %SEC-6-IPACCESSLOGNP: list 10 denied 0 192.168.13.247 -> 0.0.0.0, 5 packets
000602: Sep 13 11:19:21.108 TSD: %SEC-6-IPACCESSLOGNP: list 10 denied 0 192.168.13.253 -> 0.0.0.0, 4 packets
000603: Sep 13 11:19:21.108 TSD: %SEC-6-IPACCESSLOGNP: list 10 denied 0 192.168.13.250 -> 0.0.0.0, 4 packets
000604: Sep 13 11:19:21.108 TSD: %SEC-6-IPACCESSLOGNP: list 10 denied 0 192.168.13.252 -> 0.0.0.0, 4 packets
000605: Sep 13 11:19:21.108 TSD: %SEC-6-IPACCESSLOGNP: list 10 denied 0 192.168.13.249 -> 0.0.0.0, 4 packets
000606: Sep 13 11:19:21.108 TSD: %SEC-6-IPACCESSLOGNP: list 10 denied 0 192.168.13.251 -> 0.0.0.0, 4 packets
000607: Sep 13 11:22:21.110 TSD: %SEC-6-IPACCESSLOGNP: list 10 denied 0 192.168.13.246 -> 0.0.0.0, 6 packets

Конфиг NTP на рутере такой:
ntp logging
ntp authentication-key 11 md5 test
ntp authenticate
ntp trusted-key 11
ntp clock-period 17180200
ntp source Loopback0
ntp access-group peer 10
ntp access-group serve-only 11
ntp master 6
ntp update-calendar
ntp server 192.168.100.1 key 11 prefer

access-list 10 remark ACL of allowed NTP peers
access-list 10 permit 192.168.100.1
access-list 10 permit 127.127.7.1
access-list 10 deny any log
!
access-list 11 remark ACL of allowed NTP clients
access-list 11 permit 192.168.13.0 0.0.0.255
access-list 11 deny any


Что это за обращения на 0.0.0.0 и как это убрать?

Title: Re: Проблема при навешивании ACL на NTP в Cisco
Post by: boombastic on September 15, 2010, 22:54:30

Убери строку
access-list 10 deny any log

там по-умолчанию и так deny any стоит

Плюс задумайся, что это за подсеть 192.168.13.0/24 из которой к тебе лезут с NTP запросами.

Title: Re: Проблема при навешивании ACL на NTP в Cisco
Post by: kden on September 16, 2010, 08:38:24

Это лезут с запросами коммутаторы cisco.
Т.Е. эти коммутаторы берут время с маршрутизатора филиала, маршрутизатор в свою очередь берет время с центрального маршрутизатора.
Время везде синхронизировано. И вроде все работает. Только не понятны обращения на адреса 255.255.255.255  и 0.0.0.0.

Title: Re: Проблема при навешивании ACL на NTP в Cisco
Post by: boombastic on September 16, 2010, 14:55:21

похоже что 0.0.0.0 - в понимании циско это local
а вот 255.255.255.255 - я не заметил в логах.

Title: Re: Проблема при навешивании ACL на NTP в Cisco
Post by: kden on September 16, 2010, 17:29:15

Это логи с коммутатора Catalyst 2960 с IP 192.168.13.251:

Extended IP access list 100
    10 permit udp any any log (5767 matches)
    20 permit ip any any (10110 matches)

001982: Sep 16 15:44:45.999 TSK: %SEC-6-IPACCESSLOGP: list 100 permitted udp 192.168.13.253(0) -> 255.255.255.255(0), 15 packets
001983: Sep 16 15:44:45.999 TSK: %SEC-6-IPACCESSLOGP: list 100 permitted udp 192.168.100.13(0) -> 192.168.13.251(0), 4 packets
001984: Sep 16 15:49:46.105 TSK: %SEC-6-IPACCESSLOGP: list 100 permitted udp 192.168.100.13(0) -> 192.168.13.251(0), 10 packets
001985: Sep 16 15:50:46.127 TSK: %SEC-6-IPACCESSLOGP: list 100 permitted udp 192.168.13.253(0) -> 255.255.255.255(0), 6 packets

Конфигурация всех коммутаторов в плане NTP такая
ntp authentication-key 11 md5 ---- ntp authenticate
ntp trusted-key 11
ntp clock-period 36029054
ntp server 192.168.100.13 key 11 source Vlan1