Решено: Не могу настроить NTP-сервер на Cisco 2921

Digital-RU · ‎12-19-2019

Всем привет!

Не могу понять почему маршрутизатор не синхронизирует время с внешним NTP-сервером.

Что есть:

Ge0/1 - внешний интерфейс

Ge0/0 - внутренний.

Настроен NAT,

ВКЛЮЧЁН - Инспектируемый трафик.

C2921-BR#sh ntp associations

  address         ref clock       st   when   poll reach  delay  offset   disp
*~127.127.1.1     .LOCL.           4      7     16   377  0.000   0.000  0.228
 ~89.109.251.24   .INIT.          16      -   1024     0  0.000   0.000 15937.
 ~88.147.254.230  .INIT.          16      -   1024     0  0.000   0.000 15937.
 * sys.peer, # selected, + candidate, - outlyer, x falseticker, ~ configured

C2921-BR#sh running-config | sec ntp
ip access-list extended ntp_clients
 permit udp 192.168.50.0 0.0.0.255 host 192.168.50.1 eq ntp log-input
 permit udp 192.168.40.0 0.0.0.255 host 192.168.40.1 eq ntp log-input
 deny   ip any any log-input
ip access-list extended ntp_servers
 permit udp host 88.147.254.230 any log-input
 permit udp host 89.109.251.24 any log-input
 deny   ip any any log-input
ntp logging
ntp source GigabitEthernet0/0.70
ntp access-group peer ntp_clients kod
ntp access-group peer ntp_servers kod
ntp master 5
ntp update-calendar
ntp server 89.109.251.24
ntp server 88.147.254.230

В логах проскакивает вот такое:

1474641: Dec  4 13:37:23: %SEC-6-IPACCESSLOGP: list NAT denied udp x.x.x.x(0) -> 89.109.251.24(0), 1 packet

*Где x.x.x.x - это адрес внешнего интерфейса, а 89.109.251.24 адрес внешнего NTP-сервера

ACL - NATа

C2921-BR#sh access-lists NAT
Extended IP access list NAT
    10 permit ip any any (52533 matches)   - Добавил временно!!! думал в этом проблема
    20 permit ip 192.168.50.0 0.0.0.255 any (25555111 matches)
    30 permit ip 192.168.40.0 0.0.0.255 any (1777763 matches)

10 permit ip any any (52533 matches) - Добавил временно. думал в этом проблема. Но нет... все равно синхронизация не работает.

Digital-RU · ‎12-19-2019

Сам спросил - Сам ответил.

Разрешил трафик UDP на внешний интерфейс с серверов NTP - и все заработало.

Странно что в логах этого было не видно.

Хотя даже включал на внешнем интерфейсе deny udp any any log

Просмотреть решение в исходном сообщении

Digital-RU · ‎12-19-2019

Сменил NTP сервера. Т.к. указанные ранее похоже что не работают.

C2921-BR#sh ntp associations

  address         ref clock       st   when   poll reach  delay  offset   disp
*~127.127.1.1     .LOCL.           4      8     16   377  0.000   0.000  0.236
 ~83.143.51.50    .INIT.          16      -     64     0  0.000   0.000 15937.
 ~128.0.142.251   .INIT.          16      -   1024     0  0.000   0.000 15937.
 * sys.peer, # selected, + candidate, - outlyer, x falseticker, ~ configured

Но сути не меняет... т.к. тут, на сколько я понял, пакеты на запрос времени, даже не покидают мой маршрутизатор.

Digital-RU · ‎12-19-2019

Сам спросил - Сам ответил.

Разрешил трафик UDP на внешний интерфейс с серверов NTP - и все заработало.

Странно что в логах этого было не видно.

Хотя даже включал на внешнем интерфейсе deny udp any any log

Просмотреть решение в исходном сообщении

Julia Ustyugova · ‎12-19-2019

Добрый день.
Спасибо за Вашу помощь Сообществу!

С уважением,
Юлия Устюгова,
Менеджер Сообщества