S12508F-AF的NTP,为了防止ntp漏洞攻击,只让S12508F-AF交换就设备作为NTP客户端,向NTP服务器同步时钟,不让其他设备通过ntp服务访问,该怎么做?
(0)
最佳答案
1. 配置NTP客户端模式(仅主动同步)
system-view
# 启用NTP服务并指定服务器(客户端模式)
ntp-service enable
ntp-service unicast-server <NTP服务器IP> # 指定上游NTP服务器
ntp-service source-interface LoopBack0 # 指定源接口(建议用管理口或Loopback)
2. 禁用NTP服务端功能
# 关闭NTP服务器功能(默认关闭,确认无以下配置)
undo ntp-service server enable
3. 配置ACL限制NTP访问
# 创建ACL仅允许交换机主动访问NTP服务器
acl number 2000
rule 5 permit ip source <交换机管理IP> destination <NTP服务器IP>
rule 10 deny ip destination <交换机管理IP> # 禁止其他设备访问交换机NTP
quit
# 应用ACL到NTP服务
ntp-service access peer 2000 # 限制交换机作为客户端时的访问
ntp-service access server 2000 # 禁止其他设备将交换机作为服务器
ntp-service access synchronization 2000 # 限制时间同步请求
4. 关闭NTP广播/组播功能
# 确保以下功能关闭(默认关闭)
undo ntp-service broadcast-server
undo ntp-service multicast-server
5. 验证配置
# 检查NTP同步状态
display ntp-service status
display ntp-service sessions
# 确认ACL生效
display acl 2000
关键配置说明
配置项
作用
ntp-service unicast-server
交换机作为客户端主动同步时间,不响应外部请求
acl 2000
仅允许交换机访问指定NTP服务器,拒绝其他所有入向NTP流量
undo ntp-service server
彻底关闭NTP服务端功能,避免被作为时间源
补充安全建议
NTP认证(可选):
ntp-service authentication enable
ntp-service keyid 1 authentication-mode md5 cipher <密钥>
ntp-service reliable keyid 1
ntp-service unicast-server <NTP服务器IP> keyid 1
日志监控:
info-center source ntp log level warning
配置完成后,交换机仅作为客户端向指定NTP服务器同步时间,其他设备无法通过NTP协议访问交换机。若需进一步加固,可在接口下应用ACL:
interface GigabitEthernet1/0/1
packet-filter 2000 inbound # 在物理接口上过滤NTP流量(UDP 123端口)
(0)
在开启服务的情况下,指定你那个NTP服务器为他的指定服务器即可
ntp-service enable
ntp-service unicast-server X.X.X.X
为了通过NTP实现Device B与Device A的时间同步,要求:
· 在Device A上设置本地时钟作为参考时钟,层数为2;
· 配置Device B工作在客户端模式,指定Device A为NTP服务器。
图1-5 配置NTP客户端/服务器模式组网图
缺省情况下,本设备的接口处于ADM(Administratively Down)状态,请根据实际需要在对应接口视图下使用undo shutdown命令开启接口。
(1) 按照图1-5配置各接口的IP地址,并确保路由可达,具体配置过程略。
(2) 配置Device A
# 开启NTP服务。
<DeviceA> system-view
[DeviceA] ntp-service enable
# 设置本地时钟作为参考时钟,层数为2。
[DeviceA] ntp-service refclock-master 2
(3) 配置Device B
# 开启NTP服务。
<DeviceB> system-view
[DeviceB] ntp-service enable
# 配置通过NTP协议获取时间。
[DeviceB] clock protocol ntp mdc 1
# 设置Device A为Device B的NTP服务器。
[DeviceB] ntp-service unicast-server 1.0.1.11
(0)
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论