NTP Peering , Access-Groups
CLI Guru - Cisco Eğitim ve Danışmanlık Merkezi |

+ Konuyu Cevapla
Toplam 2 sonuçtan 1 ile 2 arasındakiler gösteriliyor.
Like Tree2Likes
  • 2 Post By Nexus
NTP Peering , Access-Groups

Bir önceki yazıda ( http://www.ciscotr.com/forum/ccie-ro...verclient.html ) basit NTP server-client ilişkisini ve bazı kavramları açıklamıştık. Yaptığımız iş senkronize olmuş NTP server ile diğer clientleri senkronize etmekti... Bu yazıda ise peer nedir

  1. #1
    Nexus isimli Üye şimdilik offline konumundadır Administrator - Founder
    Üyelik tarihi
    May 2012
    Mesajlar
    1,997

    Standart NTP Peering , Access-Groups

    Bir önceki yazıda (Network Time Protocol (NTP) - Server&Client) basit NTP server-client ilişkisini ve bazı kavramları açıklamıştık. Yaptığımız iş senkronize olmuş NTP server ile diğer clientleri senkronize etmekti...

    Bu yazıda ise peer nedir kısmına bakacağız. Atomik saatlerinizi ayarlayıp , okumaya başlayabilirsiniz

    Kısa bir tekrar'da bulunalım... Soru cevap olsun :

    NTP cisco cihazlarda kaç farklı modda çalışabilir ?

    - 4 farklı modda çalışabilir. Server, client , peer , broadcast..

    Bu modlar nasıl çalışır ?

    Client : Zamanı ntp server'dan alırlar... Sadece alırlar başka bir numaraları yoktur...

    Server: Clientleri veya belli bir client grubu senkronize etmek üzere cihazımızı NTP server olarak yapılandırabiliriz.

    Peer : Peer yapıda NTP işinde tek yetkili değil birden çok yetkili cihaz vardır. Bunun getirisi ne olur ? Yedeklilik sağlamış oluruz. Mesela 2-3 farklı router her biri farklı NTP serverlardan zaman alıyor ve aralarında Peer çalısıyorlar.. Kim ne ogrenırse diğeri ile bunu paylaşıyor... Tabi burada küçük stratumlunun söyledikleri daha geçerli olacaktır... NTP yönünden en sağlam yapı bu tarz yapılardır..

    Broadcast : Bu modda NTP server zamanı broadcast olarak yayınlar eğer server ve clientler aynı subnette ise zamanı alırlar. Bu multicast olarak da yapılabilir.. Bu durumda multicast olarak clientlerin serveri dinleyebilecek şekilde yapılandırılması gerekir..

    Yukarıda dedik ki farklı cihazları farklı NTP server'ları kullanacak şekilde yapılandırabiliriz.. Bunu yapabiliyorsak NTP'nin zamanı gönderirken bir standart'da uygun olarak gönderdiğini düşünebiliriz. Bu standart ise UTC adı verilen zamandır.

    Nedir bu UTC ?

    Universal Time Coordinated...
    Eskiden orta okulda her bir meridyen arasında 4 dakika vardır şeklinde öğrendiğimizi hepimiz hatırlıyoruzdur. Tabi tembel arkadaşları bilemem...

    UTC başlangıç meridyenindeki zamandır. Doğuya doğru giderseniz bu UTC üzerine meridyen sayısı x 4 zaman koymanız gerekecek... Bilgisayarınızdan hemen saat ayarlarını karıstırsanız orada saat dilimini değiştir seçeneğini göreceksiniz. İstanbul'un UTC+02.00 oldugunu görüyorsanız bilinki İstanbul başlangıç meridyenine 120 dk / 4 = 30 meridyen uzaklıktadır.. Bu başlangıç meridyeni ise Çorum'da bulunuyor demek isterdim ama ne yazık ki Greenwich'de bulunuyor...

    UTC basit olarak budur ve NTP'de zaman formatı UTC'dir..NTP yapılandırıp sonra neden bu saat geri diye düşünmeyin...


    Birde GMT var.. Greenwich Mean Time... Bu ise her hali ile UTC demektir... Her ikisine zulu saati denildiği de olur... Bizim istanbul GMT+2'dir....

    Sonra bir şey kaldı EEST... Oda malum güneş ışığından daha fazla faydalanmak için bulunmuş bir dilim... Buna göre saatlerimizi 1 saat ileri veya geri alırız. EDT var ESt var...
    Yaşadığınız ülkeye göre bunları clock timezone ve clock summer-time komutları ile düzenleyebilirsiniz.. Bu kavramlara çok fazla kafa yormaya gerek yok...


    Bu yazıda isole edilmiş bir network düşünelim. Bu bir afrikalı ilkel kabilenin sistem odası olabilir veya bir CCIE R/S rack'i olabilir.. Burada tüm cihazların aynı zamanı kullanmasını istiyorsak tek yapmamız gereken :

    R1(config)# ntp master x (x=stratum) girmemiz yeterli olacaktır. Bu cihaz gelen NTP isteklerini yanıtlamak için hazırdır...

    ---------------------------------------------------------------------------------------------------------------------------------------------------------

    Asıl yoğunlaşmak istediğimiz yapı ise Peer yapıdır.
    Bu yapıda herkes birbiri ile hem client hem server ilişkisi yaşar (Ama bir şartla bu şartı peer anlatımı sonunda yazacğım).. Bu ne yaşam tarzıdır !!! Bu arada bu yapıda zamanı aldığımız bir kaç tane de harici veya dahili NTP sunucumuz olmalıdır . Olmazsa neler meydana gelebileceğini anlatım sonunda görebilirsiniz..
    Peer yapı daha yavaş senkronize olur bunu baştan söyleyelim. Yönetimi de zordur ve daha fazla yapılandırma ister. Ama daha kararlı daha stabildir.. Doğruluk oranı daha yüksektir..

    Yapılandırması zor ise çok büyük yapılarda bunu kullanmak bence mantıklı olmaz. Ama küçük yapılarda bunu uygulayıp router'lar arasında NTP full mesh yapılandırabiliriz.

    Topolojimiz :



    NTP server'ları sadece ntp master komutu ile yapılandırıyoruz. Ama burada broadcast yapıyı görmek adına bunları broadcast yapılandıralım.

    NTP server'larda :

    Kod:
    int fa 0/0
    ntp broadcast
    NTP clientler'de :

    Kod:
    int fa 0/0
    ntp broadcast client
    Şimdi herhangi bir clienti debug edelim :

    Kod:
    R1#debug ntp adj
    
    Sep 15 16:46:42.020: NTP: rcv packet from 4.4.4.4 to 255.255.255.255 on FastEthernet0/0:
    Sep 15 16:46:42.024:  leap 0, mode 5, version 3, stratum 8, ppoll 64
    Sep 15 16:46:42.024:  rtdel 0000 (0.000), rtdsp 0002 (0.031), refid 7F7F0701 (127.127.7.1)
    Sep 15 16:46:42.028:  ref D5E062C6.030F4E9D (16:45:58.011 UTC Sun Sep 15 2013)
    Sep 15 16:46:42.032:  org 00000000.00000000 (00:00:00.000 UTC Mon Jan 1 1900)
    Sep 15 16:46:42.032:  rec 00000000.00000000 (00:00:00.000 UTC Mon Jan 1 1900)
    Sep 15 16:46:42.036:  xmt D5E062F2.0312AE33 (16:46:42.012 UTC Sun Sep 15 2013)
    Sep 15 16:46:42.040:  inp D5E062F2.054DFB19 (16:46:42.020 UTC Sun Sep 15 2013)
    Evet broadcast yapı çalışıyor...Ancak senaryomuzda NTP sunucuları nette olacak broadcastler bıze kadar yetısmez.. Bu sebeple peer yapıda tum clientleri aşağıdaki gibi yapılandırıyoruz:

    Kod:
    R1(config) # ntp server 4.4.4.4
    R2(config) # ntp server 5.5.5.5
    R3(config) # ntp server 6.6.6.6

    Kod:
    R2#show ntp status
    Clock is synchronized, stratum 9, reference is 5.5.5.5
    nominal freq is 250.0000 Hz, actual freq is 249.9988 Hz, precision is 2**18
    reference time is D5E066EE.D94349FB (17:03:42.848 UTC Sun Sep 15 2013)
    clock offset is 1.2531 msec, root delay is 28.03 msec
    root dispersion is 58.20 msec, peer dispersion is 56.92 msec
    Bakıyoruz ki sunucu istemci ilişkisi içinde senkron olmuşlar.



    Şimdi peer yapıyı oluşturalım :


    Kod:
    R1(config)#ntp peer 2.2.2.2
    R1(config)#ntp peer 3.3.3.3
    Kod:
    R2(config)#ntp peer 2.2.2.1
    R2(config)#ntp peer 1.1.1.3
    Kod:
    R3(config)#ntp peer 3.3.3.1
    R3(config)#ntp peer 1.1.1.2
    Bir süre bekleyıp kontrol edelim :

    Kod:
    R1#show ntp associations
    
          address         ref clock     st  when  poll reach  delay  offset    disp
    *~4.4.4.4          127.127.7.1       8    42    64    1    79.9   11.96  15875.
     ~2.2.2.2          5.5.5.5           9    50    64    2     8.2  -115.6  15875.
     ~3.3.3.3          6.6.6.6           9    52    64    2    43.9  -189.6  15875.
     * master (synced), # master (unsynced), + selected, - candidate, ~ configured
    Kod:
    R2#show ntp associations
    
          address         ref clock     st  when  poll reach  delay  offset    disp
    *~5.5.5.5          127.127.7.1       8   102   256  377    40.0    7.74    13.5
    +~1.1.1.3          6.6.6.6           9   101   256  377    -4.1  -45.82    13.3
     ~2.2.2.1          4.4.4.4           9    29  1024  373    27.5  120.58    16.6
     * master (synced), # master (unsynced), + selected, - candidate, ~ configured
    
    NTPserver5#show ntp associations
    
          address         ref clock     st  when  poll reach  delay  offset    disp
    *~127.127.7.1      127.127.7.1       7     8    64  377     0.0    0.00     0.0
     * master (synced), # master (unsynced), + selected, - candidate, ~ configured
    Kod:
    R3#show ntp associations
    
          address         ref clock     st  when  poll reach  delay  offset    disp
    *~6.6.6.6          127.127.7.1       8    91   256  273    28.0    5.75    15.6
     ~3.3.3.1          4.4.4.4           9    61  1024  366    51.4  192.60     7.8
    +~1.1.1.2          5.5.5.5           9   136   256  276    20.9   50.17    13.0
     * master (synced), # master (unsynced), + selected, - candidate, ~ configured
    Master stratumdan dolayı harici sunucular olmuş... Ancak master'in olmaması durumunda ise peer router'ların sırada beklediğini görebiliyoruz.

    NTPserver2 atomık saatten radyasyon kapsın ve kapansın.

    Sonra R2'ye bakalım ne yapacak :

    Kod:
    R2#show ntp associations
    
          address         ref clock     st  when  poll reach  delay  offset    disp
    *~5.5.5.5          127.127.7.1       8   124   256  377    36.0   -8.86    18.0
    When sürekli artmaya başlıyor...

    Biraz sonra :

    Kod:
    R2#show ntp associations
    
          address         ref clock     st  when  poll reach  delay  offset    disp
    *~5.5.5.5          127.127.7.1       8   201   256  377    36.0   -8.86    18.0

    Kod:
    R2#show ntp associations
    
          address         ref clock     st  when  poll reach  delay  offset    disp
    *~5.5.5.5          127.127.7.1       8   395   512  376    36.0   -8.86    18.0
    When 256 geçince poll 512'ye kadar uzuyor ama reach 377'den 376'a düşüyor...

    Uzun bir süre sonra (dedik ya NTP peer yapı ağır çalışır diye) :


    Kod:
    R2#show ntp associations
    
          address         ref clock     st  when  poll reach  delay  offset    disp
    *~5.5.5.5          127.127.7.1       8   525   512  374    36.0   -8.86    18.0
    +~1.1.1.3          6.6.6.6           9   140   512  376    40.9  -55.32     7.9
    +~2.2.2.1          4.4.4.4           9    57   512  376    43.8   52.74    22.0
    reach 374'e düşmüş... Bir tane daha + çıkmış ortaya...

    Bayağı bir bekleyis sonucu bakıyoruz ki :

    Kod:
    R2#show ntp associations
    
          address         ref clock     st  when  poll reach  delay  offset    disp
     ~5.5.5.5          0.0.0.0          16     -    64    0     0.0    0.00  16000.
    *~1.1.1.3          6.6.6.6           9    13    64  376    20.0  -69.82     5.7
    +~2.2.2.1          4.4.4.4           9    11    64  376    12.1  150.84     3.4
     * master (synced), # master (unsynced), + selected, - candidate, ~ configured
    Bizim sunucu ölmüş bunu öğrenince R2 kendine peer'lerden birisini NTP server olarak seçmiş... R2'için şu an NTP server R3'dür.


    Kod:
    R2#show ntp status
    Clock is synchronized, stratum 10, reference is 1.1.1.3
    nominal freq is 250.0000 Hz, actual freq is 249.9989 Hz, precision is 2**18
    reference time is D5E06F69.73FB0972 (17:39:53.453 UTC Sun Sep 15 2013)
    clock offset is 40.5067 msec, root delay is 68.02 msec
    root dispersion is 346.25 msec, peer dispersion is 173.11 msec
    Burada söylemek istediğim bir şey daha var . Router'a harici NTP server girdisi yaptınız sonra onu master yaparsanız , bu router harici tarafından senkronize edilmediği sürece internal cihazları senkronize etmez. Bu sebeple peer yapıda tüm harici NTP sunucularına erişim giderse bir süre sonra durum tüm peer'larda aşağıdaki gibi olacaktır :

    Kod:
    R1#show ntp associations
    
          address         ref clock     st  when  poll reach  delay  offset    disp
     ~4.4.4.4          0.0.0.0          16     -    64    0     0.0    0.00  16000.
     ~2.2.2.2          0.0.0.0          16    46    64    0     0.0    0.00  16000.
     ~3.3.3.3          0.0.0.0          16    12    64    0     0.0    0.00  16000.
     * master (synced), # master (unsynced), + selected, - candidate, ~ configured
    Kod:
    R3#show ntp status
    Clock is unsynchronized, stratum 16, no reference clock
    nominal freq is 250.0000 Hz, actual freq is 250.0000 Hz, precision is 2**18
    reference time is 00000000.00000000 (00:00:00.000 UTC Mon Jan 1 1900)
    clock offset is 0.0000 msec, root delay is 0.00 msec
    root dispersion is 0.00 msec, peer dispersion is 0.00 msec
    Yani her türlü NTP server'a ihtiyaç duyuluyor bu haricide olabilir dahili de olabilir... Sadece peer'lar ile bu iş olmuyor...

    Burada şunu da söyleyebilriz : Yapınız izole bir yapı ve bir router'inizi ntp master yaptınız ... Bu router'in clock chip'i bozulursa sisteminiz NTP server'siz kalacaktır. Çünkü default olarak :
    Kod:
    R1#show clock detail
    *23:21:14.955 UTC Sat Sep 14 2013
    Time source is hardware calendar
    Sonuc olarak her sunucu update edilmek ihtiyacı duyar daha dogrusu zorundadır...

    Peer tanım olarak budur... Bir nevi back up ama tam anlamı ile değil...

    ---------------------------------------------------------------------------------------------------------------------------------------------------------

    Access-group olayının aslında bir farkı yok . Adı üstünde grupluyoruz bu bize aşağıda açıklayacağımız ilave opsıyonlar sağlıyor. .

    Grup olmadan peer ile NTP ilişkilerini full access olarak tanımladık... :

    Kod:
    R1(config)#ntp peer 2.2.2.2
    R1(config)#ntp peer 3.3.3.3
    Kod:
    R2(config)#ntp peer 2.2.2.1
    R2(config)#ntp peer 1.1.1.3
    Kod:
    R3(config)#ntp peer 3.3.3.1
    R3(config)#ntp peer 1.1.1.2
    Ancak grup ile :

    Kod:
    R3(config)#ntp access-group ?
      peer        Provide full access
      query-only  Allow only control queries
      serve       Provide server and query access
      serve-only  Provide only server access
    Olayı daha kullanışlı bir hale getirebiliriz.

    Bu opsiyonları açıklamadan önce ne tip NTP mesajları varmış onlara kısaca değinelim :

    NTP Control Messages : Sync ile çok ilgisi olmayan ancak NTP verilerini taşıyan SNMP tarzı paketlerdir. Hemen altta bir wireshard capture ile bunu kontrol edebiliriz :




    Tıpkı bir SNMP mesajı gibi ...

    NTP Request and Update Msgs : Adı üstünde sor ve cevap al .

    R1 - Saat kaç bilader ? (request) UDP 123
    R2 - Kör müsün duvarda asılı ! (update) UDP 123
    R1 - Adamı hasta etme olm fişini çekerim bak , adam gibi cevap ver . UDP 123


    Şimdi access-group opsiyonlarına bakalım ve en başta şunu söyleyelim ; ACL'yi karşılayan cihazlardan :

    Peer : ACL'de belirtilen cihazdan Request ve Update kabul et ve control mesajlarını geçir manasına gelmektedir.

    Serve : Request kabul et ve yanıtla ancak update'leri kabul etme ... Control mesajları yine geçsin..

    Serve-only : Sadece NTP request'lere yanıt verilir. Bunun haricindeki tüm control ve update mesajları kabul edilmez...

    Query-Only : Burada ise sadece control mesajlarına geçiş izni vardır..

    Burada peer'lardan birisi master ise local update id olan 127.127.7.1'de bu acl'lere dahil olmalıdır...

    Bu senaryoda R1 internal master olsun. Stratum 9 olarak yapılandıralım... Yıne zamanı externel server'dan öğrensin sonra R2'ye servis etsin..


    R1 öncelikle harici sunucu gidince kendini update edebilmelidir.

    Bunun için :

    Kod:
    R1 #
    ntp server 4.4.4.4
    ntp master 9
    access-list 1 permit 127.127.7.1
    ntp access-group peer 1
    Sonra R2'ye serve edebilmelidir.

    Kod:
    access-list 2 permit 2.2.2.2
    ntp access-group serve-only 2
    R2 ise R1 üzerinden update olan bir internal router olsun...

    Kod:
    access-list 1 permit 1.1.1.1
    ntp source serial 1/1
    ntp access-group peer 1


    Senaryoları daha karısık hale getirip diğer opsiyonlarıda kullanabilirsiniz.


    Geriye sadece Authentication kaldı onuda müsait bir zamanda yazarız...

    Murat KAYAPINAR
    Comm. Eng. & Elect. Eng.
    x25 and MCyagli like this.
    “Bir kez kaçar uçurtman, sonra gökyüzüne küser insan…”

  2. #2
    MCyagli isimli Üye şimdilik offline konumundadır Administrator
    Üyelik tarihi
    Jul 2009
    Mesajlar
    565

    Standart

    Olsun bizde de Samsun yolu geçiyor
    Mehmet Ceyhan YAĞLI
    I learn, I teach
    MCyagli

+ Konuyu Cevapla

Bu Konuyu Paylaşın !

Bu Konuyu Paylaşın !

Yetkileriniz

  • Konu Acma Yetkiniz Yok
  • Cevap Yazma Yetkiniz Yok
  • Eklenti Yükleme Yetkiniz Yok
  • Mesajınızı Değiştirme Yetkiniz Yok