Servidores de horário NTP
O IETF definiu o Network Time Protocol (NTP) para sincronizar os relógios de sistemas de computador conectados entre si em uma rede. A maioria das grandes redes tem um servidor NTP que garante que a hora em todos os dispositivos seja sincronizada, independentemente da localização do dispositivo. Se você usa um ou mais servidores NTP em sua rede, certifique-se de incluir os endereços do servidor NTS em sua configuração do Junos OS.
Ao configurar o NTP, você pode especificar qual sistema na rede é a fonte de tempo autoritativa, ou servidor de horário, e como o tempo é sincronizado entre os sistemas na rede. Para fazer isso, configure o roteador, switch ou dispositivo de segurança para operar em um dos seguintes modos:
-
Modo cliente — neste modo, o roteador ou switch local pode ser sincronizado com o sistema remoto, mas o sistema remoto nunca pode ser sincronizado com o roteador ou switch local.
-
Modo ativo simétrico — neste modo, o roteador ou switch local e o sistema remoto podem sincronizar entre si. Você usa esse modo em uma rede na qual o roteador ou switch local ou o sistema remoto podem ser uma fonte melhor de tempo.
O modo ativo simétrico pode ser iniciado pelo sistema local ou remoto. Apenas um sistema precisa ser configurado para fazer isso. Isso significa que o sistema local pode sincronizar com qualquer sistema que ofereça modo ativo simétrico sem qualquer configuração. No entanto, recomendamos que você configure a autenticação para garantir que o sistema local sincronize apenas com servidores de horário conhecidos.
-
Modo de broadcast — neste modo, o roteador ou switch local envia mensagens de broadcast periódicas para uma população de clientes no endereço multicast ou broadcast especificado. Normalmente, você inclui essa declaração apenas quando o roteador ou switch local está operando como um transmissor.
-
Modo de servidor — neste modo, o roteador ou switch local opera como um servidor NTP.
No modo de servidor NTP, o Junos OS oferece suporte à autenticação da seguinte forma:
-
Se a solicitação NTP do cliente vier com uma chave de autenticação (como um ID de chave e um resumo da mensagem enviada com o pacote), a solicitação será processada e respondida com base na correspondência da chave de autenticação.
-
Se a solicitação NTP do cliente vier sem nenhuma chave de autenticação, a solicitação será processada e respondida sem autenticação.
Observação:Recomendamos configurar pelo menos 3 e até 5 servidores NTP confiáveis para melhorar a precisão do tempo, a tolerância a falhas e a seleção de candidatos. Para segurança adicional, habilite a autenticação (usando chaves compartilhadas ou NTS) para garantir que a sincronização de horário ocorra apenas com fontes confiáveis e verificadas.
-
Configurar o servidor de horário NTP e os serviços de horário
Ao usar o NTP, configure o roteador ou switch para operar em um dos seguintes modos:
-
Modo cliente
-
Modo ativo simétrico
-
Modo de transmissão
-
Modo servidor
- Configurar o roteador ou switch para operar no modo cliente
- Configurar o roteador ou switch para operar em modo ativo simétrico
- Configurar o roteador ou switch para operar no modo broadcast
- Configure o roteador ou switch para operar no modo de servidor
Configurar o roteador ou switch para operar no modo cliente
Para configurar o roteador ou switch local para operar no modo cliente, inclua a server declaração e outras declarações opcionais no nível da [edit system ntp] hierarquia:
[edit system ntp] server address <key key-number> <version value> <prefer>; authentication-key key-number type type value password; trusted-key[key-numbers];
Especifique o endereço do sistema que atua como servidor de horário. Você deve especificar um endereço, não um nome de host.
Para incluir uma chave de autenticação em todas as mensagens enviadas ao servidor de horário, inclua a opção key . A chave corresponde ao número da chave especificado na authentication-key instrução, conforme descrito em .
Por padrão, o roteador ou switch envia pacotes NTP versão 4 para o servidor de horário. Para definir o nível de versão do NTP como 1, 2 ou 3, inclua a opção version .
Se você configurar mais de um servidor de horário, poderá marcar um servidor como preferencial incluindo a opção preferir .
O exemplo a seguir mostra como configurar o roteador ou switch para operar no modo cliente:
[edit system ntp] authentication-key 1 type md5 value "$ABC123"; server 10.1.1.1 key 1 prefer; trusted-key 1;
Configurar o roteador ou switch para operar em modo ativo simétrico
Para configurar o roteador ou switch local para operar no modo ativo simétrico, inclua a peer declaração no nível de [edit system ntp] hierarquia:
[edit system ntp] peer address <key key-number> <version value> <prefer>;
Especifique o endereço do sistema remoto. Você deve especificar um endereço, não um nome de host.
Para incluir uma chave de autenticação em todas as mensagens enviadas ao sistema remoto, inclua a opção key . A chave corresponde ao número da chave especificada na authentication-key instrução.
Por padrão, o roteador ou switch envia pacotes NTP versão 4 para o sistema remoto. Para definir o nível de versão do NTP como 1, 2 ou 3, inclua a opção de versão .
Se você configurar mais de um sistema remoto, poderá marcar um sistema como preferencial incluindo a opção de preferência :
peer address <key key-number> <version value> prefer;
Configurar o roteador ou switch para operar no modo broadcast
Siga as etapas abaixo para configurar o dispositivo para operar no modo broadcast:
(Opcional) Para incluir uma chave de autenticação em todas as mensagens enviadas ao sistema remoto, defina a opção key. A chave corresponde ao número da chave especificada na
authentication-keyinstrução.set system ntp authentication-key 1 type md5 set system ntp authentication-key 1 value ”$ABC123” set system ntp trusted-key 1
Configure o endereço do servidor NTP no dispositivo.
set system ntp server IP address
Configure o dispositivo para anunciar atualizações de horário usando IPv4 ou IPv6 multicast.
Para que o dispositivo funcione no modo broadcast, você precisa habilitar multicast no dispositivo. Especifique o endereço de broadcast em uma das redes locais ou um endereço multicast atribuído ao NTP. O nome do host não é permitido. Se o endereço multicast for usado, ele deverá ser 224.0.1.1 para IPv4 e ff05::101 para IPv6.
set system ntp broadcast ff05::101 key 1
(Opcional) Por padrão, o dispositivo envia pacotes NTP versão 4 para o sistema remoto. Para definir o nível de versão do NTP como 1, 2 ou 3, inclua a opção version.
set system ntp broadcast ff05::101 version 4
Configure o dispositivo para usar um endereço de origem específico para pacotes NTP.
set system ntp source-address IP address
Habilite protocolos multicast PIM em todas as interfaces voltadas para o cliente NTP para facilitar o dispositivo a transmitir pacotes NTP pelo endereço multicast (224.0.1.1 ou ff05::101).
set protocols pim rp local address <interface_ip> set protocols pim interface <interface_name> mode sparse-dense
Para o endereço IPv4 (224.0.1.1), o IGMP deve ser habilitado nas interfaces voltadas para o cliente NTP.
set protocols igmp interface <interface_name> static group 224.0.1.1
Para endereço IPv6 (ff05::101), habilite MLD (descoberta de ouvinte multicast) em cada subinterface voltada para o cliente NTP para ingressar no grupo multicast ff05::101.
set protocols mld interface xe-0/0/11:0.1200 static group ff05::101 set protocols mld interface xe-0/0/11:0.1400 static group ff05::101 set protocols mld interface xe-0/0/11:0.2100 static group ff05::101
-
Ao configurar o NTP usando o
set system ntp broadcast address <routing-instance-name routing-instance-name>comando, a instância de roteamento especificada deve ser uma instância de roteamento L3. O NTP não oferece suporte a instâncias de roteamento L2 como EVPN e VPLS e, portanto, não deve ser especificado em configurações NTP. -
O NTP sobre multicast não é suportado na instância de roteamento no dispositivo.
Configure o roteador ou switch para operar no modo de servidor
No modo de servidor, o roteador ou switch atua como um servidor NTP para clientes quando os clientes são configurados adequadamente. O único pré-requisito para o "modo servidor" é que o roteador ou switch esteja recebendo tempo de outro peer ou servidor NTP. Nenhuma outra configuração é necessária no roteador ou switch.
Ao configurar o serviço NTP no VRF de gerenciamento (mgmt_junos), você deve configurar pelo menos um endereço IP em uma interface física ou lógica dentro da instância de roteamento padrão e garantir que essa interface esteja ativa para que o serviço NTP funcione com o VRF mgmt_junos.
Para configurar o roteador ou switch local para operar como um servidor NTP, inclua as seguintes declarações no nível da [edit system ntp] hierarquia:
[edit system ntp] authentication-key key-number type type value password; server address <key key-number> <version value> <prefer>; trusted-key [key-numbers];
Especifique o endereço do sistema que atua como servidor de horário. Você deve especificar um endereço, não um nome de host.
Para incluir uma chave de autenticação em todas as mensagens enviadas ao servidor de horário, inclua a opção key . A chave corresponde ao número da chave especificada na authentication-key instrução.
Por padrão, o roteador ou switch envia pacotes NTP versão 4 para o servidor de horário. Para definir o nível de versão do NTP como 1, 2 ou 3, inclua a opção de versão .
Se você configurar mais de um servidor de horário, poderá marcar um servidor como preferencial incluindo a opção preferir .
O exemplo a seguir mostra como configurar o roteador ou switch para operar no modo de servidor:
[edit system ntp] authentication-key 1 type md5 value "$ABC123"; server 192.168.27.46 prefer; trusted-key 1;
A partir do Junos OS Evolved versão 24.2R1, as seguintes opções são adicionadas para configurar o recurso NTS:
[edit system ntp]
nts
{
local-certificate <certificate-id of local certificate>;
trusted-ca (trusted-ca-group <trusted ca-group name> | trusted-ca-profile <ca-profile name>);
}
[edit system ntp server <server>]
nts remote-identity
{
hostname <FQDN of server>;
distinguished-name (container <container-string> | wildcard <wild-card string>);
}