nevzorofff Posted July 13, 2020 Posted July 13, 2020 На ASR1001 asr1000-rommon-155-3r.S1.pkg включили NTP сервер. Без ACL всё работает. Навешиваем ACL ntp access-group peer NTP ntp access-group serve-only NTPQ В NTP список серверов откуда берём. Время берётся норм, часы синхронизируются. В NTPQ даже если разрешить всем — время никому не отдаётся. Во включенном debug циска на каждый запрос пишет, что запрос есть и на этом всё. Куда ещё копать? Вставить ник Quote
nevzorofff Posted July 13, 2020 Author Posted July 13, 2020 #sh ip access-list NTPQ Standard IP access list NTPQ 10 permit any (124520 matches) #sh ip access-list NTP Standard IP access list NTP 10 permit 162.XXX.XXX.XXX (818 matches) 20 permit 145.XXX.XXX.XXX (823 matches) 30 permit 88.XXXX.XXX.XXX (820 matches) 40 permit 89.XXX.XXX.XXX (816 matches) 50 permit 185.XXX.XXX.XXX (818 matches) 60 permit 193.XXX.XXX.XXX (820 matches) # ntpdate ntp.XXXXXXXXX.com 13 Jul 20:26:17 ntpdate[79276]: no server suitable for synchronization found Вставить ник Quote
jffulcrum Posted July 13, 2020 Posted July 13, 2020 ntp logging пробуете синхронизироваться и show logging | include NTP Вставить ник Quote
Butch3r Posted July 14, 2020 Posted July 14, 2020 ip access-list standard ntp-peer permit 10.10.10.1 permit 10.10.10.2 ip access-list standard ntp-serve-only permit 10.0.0.0 0.255.255.255 ntp access-group peer ntp-peer ntp access-group serve-only ntp-serve-only ntp master ntp update-calendar ntp server 10.10.10.1 source Loopback0 ntp server 10.10.10.2 source Loopback0 Вставить ник Quote
nevzorofff Posted July 14, 2020 Author Posted July 14, 2020 16 часов назад, jffulcrum сказал: ntp logging пробуете синхронизироваться и show logging | include NTP #conf t Enter configuration commands, one per line. End with CNTL/Z. (config)#ntp lo (config)#ntp logging (config)#^Z #sh log | inc ntp #sh log Syslog logging: enabled (0 messages dropped, 3 messages rate-limited, 145 flushes, 0 overruns, xml disabled, filtering disabled) No Active Message Discriminator. No Inactive Message Discriminator. Console logging: level debugging, 6041 messages logged, xml disabled, filtering disabled Monitor logging: level debugging, 0 messages logged, xml disabled, filtering disabled Buffer logging: level debugging, 5037 messages logged, xml disabled, filtering disabled Exception Logging: size (4096 bytes) Count and timestamp logging messages: disabled Persistent logging: disabled No active filter modules. Trap logging: level informational, 759 message lines logged Logging Source-Interface: VRF Name: Log Buffer (4096 bytes): -cbc Jul 14 13:38:24 CY-S: %SYS-5-CONFIG_I: Configured from console by XXXXX on vty0 () Jul 14 13:40:07 CY-S: %SYS-5-CONFIG_I: Configured from console by XXXXX on vty0 () # Попытка синхронизации(разница в два часовых пояса): root@XXXXXXXXXX:/home/niko # ntpdate ntp.XXXXXXXXX.com 14 Jul 15:40:19 ntpdate[87157]: no server suitable for synchronization found @Butch3r Это всё тоже есть: ntp logging ntp access-group peer NTP ntp access-group serve-only NTPQ Вставить ник Quote
nevzorofff Posted July 14, 2020 Author Posted July 14, 2020 (edited) sh ntp status Clock is synchronized, stratum 2, reference is XXX.XXX.XXX.XXX nominal freq is 250.0000 Hz, actual freq is 249.9937 Hz, precision is 2**10 reference time is E2B80B25.E6E97B50 (13:44:53.902 CY-S Tue Jul 14 2020) clock offset is 2.1652 msec, root delay is 47.59 msec root dispersion is 12.17 msec, peer dispersion is 1.03 msec loopfilter state is 'CTRL' (Normal Controlled Loop), drift is 0.000025010 s/s system poll interval is 1024, last update was 521 sec ago. Попробовал с access-l с одним адресом(с которого тестирую) Standard IP access list NTPQt 10 permit XXX.XXX.XXX.XXX (4 matches) #sh run | inc NTPQt ip access-list standard NTPQt ntp access-group serve-only NTPQt 4 запроса пролетело на циску, но клиент не синхронизировался. Edited July 14, 2020 by nevzorofff Вставить ник Quote
alibek Posted July 14, 2020 Posted July 14, 2020 Склоняюсь к тому, что что-то не так с source-интерфейсами и маршрутизацией. Возможно запросы по пути где-то проходят через NAT. Если убрать ACL и включить подробный лог, то что в логах? Вставить ник Quote
nevzorofff Posted July 14, 2020 Author Posted July 14, 2020 Кусок debug ntp all: Jul 14 11:14:16.544: NTP message received from 109.65.22.230 on interface 'Eth1' (XXX.XXX.XXX.XXX). Jul 14 11:14:16.544: NTP Core(DEBUG): ntp_receive: message received Jul 14 11:14:16.544: NTP Core (NOTICE): ntp_receive: dropping message: RES_DONTSERVE restriction. Jul 14 11:14:16.703: NTP message received from 79.176.105.175 on interface 'Eth1' (XXX.XXX.XXX.XXX). Jul 14 11:14:16.703: NTP Core(DEBUG): ntp_receive: message received Jul 14 11:14:16.703: NTP Core (NOTICE): ntp_receive: dropping message: RES_DONTSERVE restriction. Jul 14 11:14:16.944: NTP message received from 216.241.131.213 on interface 'Eth1' (XXX.XXX.XXX.XXX). Jul 14 11:14:16.944: NTP Core(DEBUG): ntp_receive: message received Jul 14 11:14:16.944: NTP Core (NOTICE): ntp_receive: dropping message: RES_DONTSERVE restriction. Jul 14 11:14:16.945: NTP message received from 109.66.58.14 on interface 'Eth1' (XXX.XXX.XXX.XXX). Jul 14 11:14:16.945: NTP Core(DEBUG): ntp_receive: message received Jul 14 11:14:16.945: NTP Core (NOTICE): ntp_receive: dropping message: RES_DONTSERVE restriction. Jul 14 11:14:16.945: NTP message received from 109.65.49.127 on interface 'Eth1' (XXX.XXX.XXX.XXX). Jul 14 11:14:16.945: NTP Core(DEBUG): ntp_receive: message received Jul 14 11:14:16.945: NTP Core (NOTICE): ntp_receive: dropping message: RES_DONTSERVE restriction. Jul 14 11:14:17.326: NTP message received from 109.66.85.60 on interface 'Eth1' (XXX.XXX.XXX.XXX). Jul 14 11:14:17.326: NTP Core(DEBUG): ntp_receive: message received Jul 14 11:14:17.326: NTP Core (NOTICE): ntp_receive: dropping message: RES_DONTSERVE restriction. Jul 14 11:14:17.326: NTP message received from 94.73.3.192 on interface 'Eth1' (XXX.XXX.XXX.XXX). Jul 14 11:14:17.326: NTP Core(DEBUG): ntp_receive: message received Jul 14 11:14:17.326: NTP Core (NOTICE): ntp_receive: dropping message: RES_DONTSERVE restriction. Jul 14 11:14:17.326: NTP message received from 172.16.103.67 on interface 'Eth1' (XXX.XXX.XXX.XXX). Jul 14 11:14:17.327: NTP Core(DEBUG): ntp_receive: message received Jul 14 11:14:17.327: NTP Core (NOTICE): ntp_receive: dropping message: RES_DONTSERVE restriction.Jul 14 11:14:17.676: NTP message received from YYY.YYY.YYY.YYY on interface 'Eth1' (XXX.XXX.XXX.XXX). Jul 14 11:14:17.676: NTP Core(DEBUG): ntp_receive: message received Jul 14 11:14:17.676: NTP message received from 87.70.186.140 on interface 'Eth1' (XXX.XXX.XXX.XXX). Jul 14 11:14:17.676: NTP Core(DEBUG): ntp_receive: message received Jul 14 11:14:17.676: NTP Core (NOTICE): ntp_receive: dropping message: RES_DONTSERVE restriction. Jul 14 11:14:17.676: NTP message received from 79.181.92.6 on interface 'Eth1' (XXX.XXX.XXX.XXX). Jul 14 11:14:17.676: NTP Core(DEBUG): ntp_receive: message received Jul 14 11:14:17.676: NTP Core (NOTICE): ntp_receive: dropping message: RES_DONTSERVE restriction. Жирным выделен тот единственный IP из NTPQt 5 минут назад, alibek сказал: Склоняюсь к тому, что что-то не так с source-интерфейсами и маршрутизацией. Возможно запросы по пути где-то проходят через NAT. Если убрать ACL и включить подробный лог, то что в логах? Если убрать обе ACL или в peer ACL добавить permit any, то всё работает. Вставить ник Quote
ShyLion Posted July 15, 2020 Posted July 15, 2020 Попробуйте перейти на extended ACL, добавьте log в "any any". Может там соурс или дестинейшен странные. Вставить ник Quote
zhenya` Posted July 15, 2020 Posted July 15, 2020 По-моему там можно только стандартные ацл. Вставить ник Quote
nevzorofff Posted July 15, 2020 Author Posted July 15, 2020 (edited) extended прилип к конфигурации NTP #sh ip access-l NTPt Extended IP access list NTPt 10 permit ip any any log (660 matches) sh log: Jul 15 20:34:20 CY-S: %SEC-6-IPACCESSLOGP: list NTPt permitted udp XX.XX.XX.86(0) -> YY.YY.YY.1(0), 1 packet Ответы от сервера в ACL не попадают. Все строки в именно в таком виде от клиента к серверу. На мой взгляд так и должно быть. Edited July 15, 2020 by nevzorofff Вставить ник Quote
ShyLion Posted July 16, 2020 Posted July 16, 2020 Ну а добавить конкретных хостов? Также не работает? Вставить ник Quote
nevzorofff Posted July 16, 2020 Author Posted July 16, 2020 17 минут назад, ShyLion сказал: Ну а добавить конкретных хостов? Также не работает? Ага. Тут писал. Вставить ник Quote
ShyLion Posted July 16, 2020 Posted July 16, 2020 31 minutes ago, nevzorofff said: Ага. Тут писал. там стандартный лист, а я предлагаю попробовать extended Вставить ник Quote
nevzorofff Posted July 16, 2020 Author Posted July 16, 2020 2 часа назад, ShyLion сказал: а я предлагаю попробовать extended Тоже самое: sh ip access-l NTPt Extended IP access list NTPt 10 permit ip host XXX.XXX.XXX.86 host YYY.YYY.YYY.1 (4 matches) 20 permit ip host YYY.YYY.YYY.1 host XX.XXX.XXX.86 Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.