Kurumsal firmalarda gelisen ihtiyaçlar dogrultusunda kullanicilara zaman bazli kurallar uygulamaya basladilar.Cisco cihazlarda dahili saat bulunmamaktadir.Cihazlar kapatilip açildiginda üzerinde bulunan saati kaybedip varsayilan zaman degerine (Subat yada Mart 1993) dönmektedir.Cihaz varsayilan degerine döndügü için cihaz üzerinde zaman bazli yazilan kurallar çalisamaz hale gelir.Bu yüzden cihazlara harici zaman kaynagi göstermek gerekir.Cihazlarin zaman ve tarih bilgileri baska bir kaynaktan alabilmeleri saglayan protocol NTP (Network Time Protocol) dir.

Bu makalede harici NTP sunucularin Cisco cihazlara nasil tanimlanacagi ve Zaman tabanli ACL (Erisim kontrol Listeleri) lerin nasil yazilacagi anlatilacaktir.

Kurumsal network içinde bütün cihazlarin (Router ,Switch,Firewall,Server) zaman ayarlarinin dogru olmasi gerekir.Zaman ayarli dogru olmazsa cihazlarin kontrolü,ne zaman yeniden basladigi,olusan hatanin en zaman oldugunu anlayamayiz.Hatta zaman ayari dogru yapilamazsa Active Directory yapisi olan networkte kullanicilar domaine logon olamazlar.Bu yüzden Microsoft ,kendi ürünlerine Windows Time Servisini entegre etmistir.

Cisco cihazlarda üzerinlerinde dahili saati bulunmadigi için zaman sentronizyonu için NTP protocolu destegi bulunmaktadir.Bu sayede cisco cihazlar üzerinde zaman bazli kurallar yazilabilmekte ve loglarda dogru zaman degeri görülebilmektedir.

NTP protocolünde clientlar zaman bilgisi NTP serverlardan alirlar.Günümzüde internet üzerinde güvenli zaman sunuculari yer almaktadir.Internet üzerinde bir cok ücretsiz NTP server bulunmaktadir.

Genel NTP sunucularina örnek olarak Amerikan Ulusal Standartlar ve Teknoji Enstitüsü  (NIST) nün serverlarini verebiliriz.

http://tf.nist.gov/service/its.htm

NIST in NTP serverlari zaman ayarlarini atomik saate göre yapmaktadir.NIST in web sitesinde  herkeze açik NTP suncularin listesi yer almaktadir.Asagidaki linkten NTP suncularin listesini yer almaktadir.

http://tf.nist.gov/service/time-servers.html

Listede Microsoft’un da kendi NTP sunucu yer almaktadir.NTP suncusun ismi time-nw.nist.gov ve ipsi 131.107.1.10

Birinci katman (stratum-1)  sunucu olarak tanimlanan bu sunucular zaman kaynagi olarak atomik saat kullanmaktadirlar.Sunucularda katman numarasi arttikça kaynaga olan mesafe artmakta ve zaman degerinin güvenilirligi azalmaktadir.

Eger aginizda zaman ayarlarin kesinlikle gerçek zamani göstermesine ihtiyaciniz varsa GPS üzerinden zaman degerini alan donanimlar kullanmaniz yani kendi birinci katman NTP sunucunusu kurmaniz gerekir.

Böyle bir yatirima gitmeyecek orta ve küçük ölçekli networkler için en uygun olan çözüm cihazlarda harici NTP suncusu tanimlarinin yapilmasidir.

Cisco cihazlarda NTP ayarlarinin yapilabilmesi için yapilmasi gereken adimlar sunlardir:

1.Internet üzerinden dogru zaman degeri alabilecegimiz herkeze açik NTP servera ihtiyaç duyulmaktadir.

2.Bu sunucun ipsine ihtiyaç duyulmaktadir.Bu sunucu harici herkeze açik bir NTP sunucusuda olabiir yada iç networkte yer alan NTP sunucusu olabilir.

3.Cisco routera asagidaki komutlarin girilmesi gerekmektedir.

Router# configure terminal

Router(config)# ntp server <IP address of NTP Server>

Yukarda NIST in sitesinde yer alan NTP serverlar kullanilabilecegi gibi Amerikan Deniz gözlem evinin NTP serverlari da kullanilabilir.IPleri:

ntp server 192.5.41.41
ntp server 192.5.41.40
ntp server 128.118.25.3

NTP protocolünde zaman bilgisi GMT ye gore ananos edilir.Türkiye de zaman ayari yapabilmek için router üzerine

asagidaki komutlari girmek gerekir.

clock timezone GMT+2 2

clock summer-time GMT+3 recurring

Bu komutlar girildikten sonra router aldigi GMT zaman bilgisini GMT +2 ye gore degistirecektir.

4.show ntp status ve show ntp associations komutlari ile baglanti control edilir.

NTP protocolu yavas isleyen bir protocoldur.Ayarlar yapildaktan sonra biraz beklemek gerekir.Problem çözmek ve NTP sürecini gözlemlemek istersek NTP için debuglari açmamiz gerekir.NTP debugi açmak için “debug ntp <seçenek> “ komutunu girmemiz gerekir.

Eger içnetworkte  bir NTP server kullaniilacaksa firewalda 123 TCP portu açilmasi gerekir.

Cisco Routerlarda Zaman Bazli Erisim Kontrol Listeleri (Time-based Access Control List):

Zaman Tabanli Erisim kontrol listelerin yazilma özelligi Cisco IOS larda 12.0.1.T den sonra desteklenmeye baslanmistir.Tipki Extenden ACL lerin yazilimina benzer.Zaman tabanli ACL lerin yazilabilmesi için belli bir zaman araligi belirten tanimin yapilmasi gerekmektedir.Zaman araligina bir isim verilir. Zaman tabanli ACL ler cihazin üzerindeki zaman göre çalisir.

Cisco routerlar üzerinden Zaman tabanli ACL yazmak için yapilmasi gereken adimlar asagida belirtilmistir.

   1.Zaman araligina bir isim verilir.

    time-range ISIM

    2.Periyoduk olan zamanlar tanimlarir.

    periodic days-of-the-week hh:mm to [days-of-the-week] hh:mm

   3.Yada belli zaman araligi tanimlanir.

    absolute [Baslama tarihi] [Bitis tarihi]

   4.Tanimlanan zaman araligi ismi ACL içinde kullanilir.

     ip access-list name|number <extended_definition>time-rangename_of_time-range 

Asagidaki örnekte Pazartesi,çarsamba ve Cuma günleri ,iç networkten dis networke telnet baglantisina izin verilecek zaman bazli erisim kontrolü uygulamasi yeralmaktadir.

    interface Ethernet0/0

    ip address 10.1.1.1 255.255.255.0

    ip access-group 101 in     

    access-list 101 permit tcp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 eq telnet time-range EVERYOTHERDAY 

    time-range EVERYOTHERDAY

    periodic Monday Wednesday Friday 8:00 to 17:00

Kaynak:

Cisco.com  NTP Configurasyon Dokumani

http://articles.techrepublic.com.com/5100-1035_11-5712046.html

Ortalama Üye Değerlendirmesi

   (1 Oylama)

Yorum Sayısı: 4 / 4