ntp

Sintaxe

Nível de hierarquia

Descrição

Configure o NTP no dispositivo. Nos modos de cluster autônomo e chassi, o mecanismo de roteamento primário executa o processo de NTP para obter o tempo do servidor NTP externo. Embora o mecanismo de roteamento secundário execute o processo de NTP na tentativa de obter tempo do servidor NTP externo, essa tentativa falha devido a problemas de rede. Por esse motivo, o mecanismo de roteamento secundário usa NTP para obter o tempo do mecanismo de roteamento primário.

Ao configurar o serviço NTP no vrF de gerenciamento (mgmt_junos), você deve configurar pelo menos um endereço IP em uma interface física ou lógica dentro da instância de roteamento padrão e garantir que essa interface esteja ativa para que o serviço NTP trabalhe com o VRF mgmt_junos.

Opções

authentication-key key_number

Configure a chave (ID chave, tipo de chave e valor chave) para autenticar pacotes NTP com os dispositivos (servidores e clientes). A chave de autenticação tem dois campos:

type— Quando a autenticação é especificada, o identificador de chave (ID chave) seguido do digestão da mensagem é anexada ao cabeçalho do pacote NTP. Os formatos de digestão de mensagem suportados são md5, sha1, sha256.

Nota:
O EX4600 não oferece suporte à autenticação SHA256 para NTP e oferece suporte apenas ao MD5.
value— Se o valor-chave estiver disponível no formato ASCII e sem caracteres especiais, ele pode ser inserido diretamente. Se o valor-chave contém caracteres especiais ou estiver disponível no formato hex, considere o seguinte:

Para especificar as chaves no formato hex, prepare um "×x" para cada dois caracteres. Para um exemplo chave de hex, af60112f... 39af4ced, set system ntp authentication-key <ID> value "\xaf\x60\x11\x2f\....\x39\xaf\x4c\xed".

Se a chave contém um dos caracteres do (null) 0x00, (space) 0x20, " 0x22, & 0x26, ( 0x28 ) 0x29 prepend um "...", Por exemplo, \\x22.

Intervalo: 1 a 65534

boot-server (address | hostname)

Configure o servidor que o NTP consulta quando o dispositivo inicializa para determinar a data e a hora locais.

Quando você inicializa o dispositivo, ele emite uma solicitação de ntpdate, que pesquisa um servidor de rede para determinar a data e a hora locais. Você deve configurar um servidor de inicialização NTP que o dispositivo usa para determinar o tempo em que o dispositivo inicializa. Caso contrário, o NTP não pode sincronizar para um servidor de tempo se o tempo do servidor difere significativamente do tempo do dispositivo local.

Se você configurar um servidor de inicialização NTP, então, quando o dispositivo inicializa, ele sincroniza imediatamente com o servidor de inicialização mesmo se o processo de NTP estiver explicitamente desativado ou se a diferença de tempo entre o cliente e o servidor de inicialização exceder o valor limite de 1000 segundos.

Valores: Configure um dos seguintes:
- address— endereço IP de um servidor de inicialização NTP.
- hostname— Nome de host de um servidor de inicialização NTP. Se você configurar um nome de host em vez de um endereço IP, a solicitação de ntpdate resolve o nome de host em um endereço IP quando o dispositivo é inicializante.

Nota:

Essa opção é preterida a partir do Junos OS Release 20.4R1. O servidor de inicialização NTP não é suportado no Junos OS Evolved. Configure o servidor usando set system ntp server sob a edit system ntp server hierarquia.

broadcast <address> <key key-number> <routing-instance-name routing-instance-name> <ttl value> <version value>

Configure o dispositivo para operar no modo de transmissão com o sistema remoto no endereço especificado. Nesse modo, o dispositivo envia mensagens de transmissão periódicas para uma população cliente no endereço de transmissão ou multicast especificado. Normalmente, você inclui esta declaração apenas quando o dispositivo está operando como um transmissor.

`address`	Configure o endereço de transmissão em uma das redes locais ou em um endereço multicast atribuído ao NTP. Você deve especificar um endereço, não um nome de host. Se o endereço multicast for usado, ele deve ser `224.0.1.1`. Configure os protocolos multicast PIM e IGMP para facilitar o dispositivo a transmitir pacotes NTP por endereço multicast 224.0.1.1. Nota: O NTP sobre multicast não é suportado na instância de roteamento do dispositivo.
key `key-number`	(Opcional) Todos os pacotes enviados ao endereço incluem campos de autenticação criptografados usando o número de chave especificado (qualquer inteiro não assinado com 32 bits, exceto 0). A chave corresponde ao número-chave que você especificou na declaração chave de autenticação.
routing-instance-name `routing-instance-name`	(Opcional) Configure o nome da instância de roteamento em que a interface tem um endereço na sub-rede de broadcast. Padrão: A instância de roteamento padrão é usada para transmitir pacotes.
ttl `value`	(Opcional) Configure o valor do tempo de vida (TTL). Intervalo: 1 a 255 Padrão: 1
version `value`	(Opcional) Especifique o número da versão a ser usado em pacotes NTP de saída. Intervalo: 1 a 4 Padrão: 4

broadcast-client

Configure o dispositivo local para ouvir mensagens de transmissão na rede local para descobrir outros servidores na mesma sub-rede. Para evitar interrupções acidentais ou maliciosas neste modo, os sistemas locais e remotos devem usar a autenticação e a mesma chave confiável e identificador chave.

interval-range value

Configure o intervalo de intervalo da pesquisa.

Intervalo: 0 a 3

multicast-client <address>

Configure o dispositivo local para ouvir mensagens multicast na rede local. Para evitar interrupções acidentais ou maliciosas neste modo, os sistemas locais e remotos devem usar a autenticação e a mesma chave confiável e identificador chave.

Sintaxe: <address> —(Opcional) Especifique um ou mais endereços IP. Se você especificar endereços, o dispositivo se junta a esses grupos multicast.
Padrão: 224.0.1.1

nts <local-certificate local-certificate><trusted-ca (trusted-ca-group trusted-ca-group | trusted-ca-profile trusted-ca-profile)

Configure os recursos de segurança de tempo de rede (NTS) para NTP em seu dispositivo.

local-certificate local-certificate

Especifique o certificado carregado em seu dispositivo durante a inscrição do certificado ou carregado manualmente especificando o arquivo do certificado.

trusted-ca

Especifique um grupo de CA confiável ou um perfil de CA. Essa configuração é opcional. Se você não especificar um perfil de CA confiável, o NTP confiará em todos os perfis de CA configurados para NTS.

trusted-ca-group trusted-ca-group

Especifique o grupo de CA de confiança definido em [set security pki trusted-ca-group].

trusted-ca-profile trusted-ca-profile

Especifique o perfil de CA confiável.

peer address <key key-number> <prefer> <version value>

Configure o dispositivo local para operar no modo ativo simétrico com o sistema remoto no endereço especificado. Nesse modo, o dispositivo local e o sistema remoto podem sincronizar entre si. Essa configuração é útil em uma rede na qual o dispositivo local ou o sistema remoto podem ser uma melhor fonte de tempo.

`address`	Endereço do sistema remoto. Você deve especificar um endereço, não um nome de host.
key `key-number`	(Opcional) Todos os pacotes enviados ao endereço incluem campos de autenticação criptografados usando o número de chave especificado (qualquer inteiro não assinado com 32 bits, exceto 0). A chave corresponde ao número-chave que você especificou na declaração chave de autenticação.
prefer	(Opcional) Marque o sistema remoto como o host preferido, o que significa que, se todos os outros fatores forem iguais, este sistema remoto é escolhido para sincronização entre um conjunto de sistemas operacionais corretamente.
version `value`	(Opcional) Especifique o número da versão NTP a ser usado em pacotes NTP de saída. Intervalo: 1 a 4 Padrão: 4

restrict address mask network-mask noquery

Restrinja pacotes de hosts (incluindo servidores de tempo remoto) e sub-redes.

Sintaxe:
- address— Especifique o endereço IP para um host ou rede.
- máscara network-mask— Especifique a máscara de rede para um host ou rede.
- noquery — Negar consultas de ntpq e ntpdc de hosts e sub-redes. Essas consultas podem ser usadas em ataques de amplificação.

server

Configure o dispositivo local para operar no modo cliente com o sistema remoto no endereço especificado. Nesse modo, o dispositivo pode ser sincronizado com o sistema remoto, mas o sistema remoto nunca pode ser sincronizado com o dispositivo.

Se o tempo do cliente do NTP se desviar para que a diferença de tempo do servidor NTP exceda 128 milissegundos, o cliente é automaticamente recuado para a sincronização. Se a compensação entre o cliente e o servidor NTP exceder o limite de 1000 segundos, o cliente ainda sincroniza com o servidor, mas também gera uma mensagem de log do sistema observando que o limite foi excedido.

`address`	Endereço do sistema remoto. Você deve especificar um endereço, não um nome de host.
key `key-number`	(Opcional) Todos os pacotes enviados ao endereço incluem campos de autenticação criptografados usando o número de chave especificado (qualquer inteiro não assinado com 32 bits, exceto 0). A chave corresponde ao número-chave que você especificou na declaração chave de autenticação.
prefer	(Opcional) Marque o sistema remoto como o host preferido, o que significa que, se todos os outros fatores forem iguais, este sistema remoto é escolhido para sincronização entre um conjunto de sistemas operacionais corretamente.
routing-instance `routing-instance`	(Opcional) Instância de roteamento pela qual o servidor é acessível.
nts	Permite que o NTS, que usa o protocolo de segurança de camada de transporte (TLS) e criptografia autenticada com dados associados (AEAD) obtenha tempo de rede de forma autenticada para os usuários. O servidor especificado também deve oferecer suporte ao recurso NTS quando você habilita o NTS em um dispositivo cliente.
version `value`	(Opcional) Especifique o número da versão NTP a ser usado em pacotes NTP de saída. Intervalo: 1 a 4 Padrão: 4

source-addresssource-address <routing-instance [ routing-instance-name ]>

Um endereço IP válido configurado em uma das interfaces do dispositivo a ser usado como endereço fonte para mensagens enviadas ao servidor NTP e, opcionalmente, a instância de roteamento na qual o endereço de origem está configurado.

Padrão: O endereço principal da interface

threshold seconds action (accept | reject)

Configure o limite máximo em segundos permitido para ajuste de NTP e especifique o modo para ajuste anormal de NTP.

Intervalo: 1 a 600 segundos
Valores: Configure um dos seguintes:
- aceitar — habilite o modo de log para ajuste anormal de NTP.
- rejeitar — Habilite o modo de rejeição para ajuste anormal de NTP.

trusted-key [ key-numbers ]

Configure uma ou mais chaves que você pode usar para autenticar outros servidores de tempo, quando você configurar o dispositivo local para sincronizar seu tempo com outros sistemas na rede. Cada chave pode ser qualquer inteiro não assinado de 32 bits, exceto 0. A chave corresponde ao número-chave que você especifica na declaração da chave de autenticação.

Por padrão, a sincronização do tempo de rede não é autenticada. O dispositivo sincroniza com qualquer sistema que pareça ter o tempo mais preciso. Recomendamos fortemente que você configure a autenticação dos serviços de tempo de rede.

Nível de privilégio exigido

sistema — Para visualizar essa declaração na configuração.

controle do sistema — para adicionar essa declaração à configuração.

Informações de versão

Declaração introduzida antes do Junos OS Release 7.4.

routing-instance opção para a server declaração introduzida no Junos OS Release 18.1.

restrict declaração introduzida no Junos OS Release 20.1.

NESTA PÁGINA