Palo Alto 3260 和 Juniper MX10003 之间的 NTP 同步问题

网络工程 防火墙 杜松-朱诺斯 瞻博网络 ntp 帕洛阿尔托
2022-02-13 11:41:53

我使用 Microsemi S650 作为主 ntp 服务器,使用 Juniper MX10003 作为辅助 ntp 服务器。我将帕洛阿尔托 3260 配置如下:

    [edit deviceconfig system ntp-servers]
    ADMIN@PALOALTO-3260# show
    ntp-servers {
    primary-ntp-server {
    ntp-server-address fd40:a652:205:81::123;
     authentication-type {
      symmetric-key {
       algorithm {
       sha1 {
        authentication-key -AQ==A2yJAAeGbGTWyC8VvVcfpy26eRw=yrW8b/T3Jy7JBO39p2jxJJIKtK0Zmcf0hpKkBVObeE5yRXhcNw7d5m2kcRJwugdy;
      }
    }
       key-id 2;
  }
}
      }
secondary-ntp-server {
ntp-server-address fd40:a652:103:100::3;
authentication-type {
  symmetric-key {
    key-id 5;
    algorithm {
      sha1 {
        authentication-key -AQ==A2yJAAeGbGTWyC8VvVcfpy26eRw=yrW8b/T3Jy7JBO39p2jxJJIKtK0Zmcf0hpKkBVObeE5yRXhcNw7d5m2kcRJwugdy;
      }
    }
  }
}

} }

MX10003 配置如下:

{master}[edit system ntp]
    ADMIN@MX1003-A3-RE0# show
    boot-server fd40:a652:205:81::123;
    authentication-key 3 type md5 value "$8$aes256-gcm$hmac-sha2-256$100$qj7VKJq6yp4$uleP/L5JAwqyxXz8Ycu+rg$0cSalY+VuOGOQWHUzeftUw$OV8LtMSs6Y/+i2Xnd5mx"; ## SECRET-DATA
    authentication-key 1 type md5 value "$8$aes256-gcm$hmac-sha2-256$100$1OUG+SJUcwQ$it9a/nJ5LtudKIvba0rAhw$IHYjs1Yf0568nez75hJP1g$TZmXQygdjl5OTD9yFZ/P"; ## SECRET-DATA
    authentication-key 5 type sha1 value "$8$aes256-gcm$hmac-sha2-256$100$lPz+7VuPMAM$9cfIRszWmHUTvHX7FO9Q9g$M7RbVvZCZVw4rY82p5f+3g$MfkbgtQDrDq26voT21BBAWlcbketGALnzM2RL8jJBLwE45LvpN0ahw"; ## SECRET-DATA
    server fd40:a652:205:81::123 key 1 prefer; ## SECRET-DATA
    server fd40:a652:103:100::3 key 5 prefer; ## SECRET-DATA
    trusted-key [ 1 3 5 ];
    source-address fd40:a652:103:100::3;

*注意:MX10003 的地址是 fd40:a652:103:100::3 地址。

我遇到的问题是我无法让帕洛阿尔托 3260 与 MX10003 同步。我已经使用相同的可信密钥 5 配置了另一台瞻博网络设备,它与 MX10003 同步没有问题。此外,Palo Alto 与主 NTP 服务器同步没有问题。这让我相信我已经正确配置了两个设备,但由于某种原因,Palo 不会与瞻博网络路由器同步。当我在 Palo Alto 3260 中发出“show ntp”命令时,我得到以下信息:

show ntp

    NTP state:
NTP synched to fd40:a652:205:81::123
NTP server: fd40:a652:205:81::123
    status: synched
    reachable: yes
    authentication-type: symmetric key
NTP server: fd40:a652:103:100::3
    status: rejected
    reachable: no
    authentication-type: symmetric key

此外,Palo Alto 的服务路由设置为使用 ipv6 的管理接口,我绝对可以从 Palo Alto ping 路由器。

关于如何进一步解决此问题的任何想法?我不确定如何在 Palo Alto 或 Juniper 设备中执行 Cisco 风格的调试,所以我正在寻找建议。谢谢。

1个回答

在修改瞻博网络路由器中的身份验证密钥格式后,此问题已得到解决。我们必须以特定的方式输入密钥。例如,如果密钥是 aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa(40 个字符),我们需要将路由器中的值设置为“\xaa\xaa\xaa\xaa\xaa\xaa\xaa\xaa\xaa\xaa\xaa\xaa\ xaa\xaa\xaa\xaa\xaa\xaa\xaa\xaa"(引用包含在 cli 命令中)。

其它你可能感兴趣的问题
上一篇聚合和非聚合互联网之间的速度比较 下一篇在数据包跟踪器中向服务器添加快速以太网端口