Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ntp

语法

层次结构级别

描述

在设备上配置 NTP。在独立和机箱群集模式下,主路由引擎运行 NTP 进程以从外部 NTP 服务器获取时间。尽管辅助路由引擎运行 NTP 进程以尝试从外部 NTP 服务器获取时间,但由于网络问题,此尝试失败。因此,辅助路由引擎使用 NTP 从主路由引擎获取时间。

在管理 VRF ()mgmt_junos 中配置 NTP 服务时,您必须在默认路由实例内的物理或逻辑接口上配置至少一个 IP 地址,并确保此接口已启动,以便 NTP 服务与mgmt_junos VRF 配合使用。

选项

authentication-key key_number

配置密钥(密钥 ID、密钥类型和密钥值)以使用设备(服务器和客户端)验证 NTP 数据包。身份验证密钥有两个字段:

  • type— 指定身份验证时,密钥标识符(密钥 ID)后跟消息摘要将附加到 NTP 数据包标头。支持的消息摘要格式为 md5、sha1、sha256。

    注意:

    EX4600 不支持 NTP 的 SHA256 身份验证,仅支持 MD5。

  • value- 如果键值以 ASCII 格式提供且没有特殊字符,则可以直接输入。如果键值包含特殊字符或以十六进制格式提供,请考虑以下事项:

    要以十六进制格式指定密钥,请为每两个字符附加一个“\x”。对于十六进制密钥示例,af60112f...39af4ced, set system ntp authentication-key <ID> value "\xaf\x60\x11\x2f\....\x39\xaf\x4c\xed".

    如果密钥包含前面附加 “\\x” 中的 (null) 0x00, (space) 0x20, " 0x22, & 0x26, ( 0x28 ) 0x29 字符之一。例如, \\x22.

  • 范围: 1 到 65534

boot-server (address | hostname)

配置 NTP 在设备启动时查询的服务器以确定本地日期和时间。

启动设备时,它会发出 ntpdate 请求,该请求会轮询网络服务器以确定本地日期和时间。您必须配置设备用于确定设备启动时间的 NTP 启动服务器。否则,如果服务器时间与本地设备的时间明显不同,NTP 将无法同步到时间服务器。

如果配置 NTP 引导服务器,则当设备引导时,即使显式禁用 NTP 进程或客户端与引导服务器之间的时间差超过 1000 秒,设备也会立即与引导服务器同步。

  • 值: 配置以下选项之一:

    • address— NTP 引导服务器的 IP 地址。

    • hostname- NTP 引导服务器的主机名。如果配置主机名而不是 IP 地址,则 ntpdate 请求会在设备启动时将主机名解析为 IP 地址。

注意:

从 Junos OS 20.4R1 版开始,此选项已弃用。NTP 引导服务器在 Junos OS 演化版中不受支持。在 set system ntp server 层次结构下 edit system ntp server 配置服务器。

broadcast <address> <key key-number> <routing-instance-name routing-instance-name> <ttl value> <version value>

将设备配置为在广播模式下运行,远程系统位于指定地址。在此模式下,设备通过指定的广播或组播地址向客户端群体发送定期广播消息。通常,仅当设备作为发射器运行时,才包含此语句。

address

在其中一个本地网络上配置广播地址或分配给 NTP 的组播地址。必须指定地址,而不是主机名。如果使用组播地址,则必须为 224.0.1.1

key key-number

(可选)发送到该地址的所有数据包都包括使用指定密钥号(除 0 以外的任何无符号 32 位整数)加密的身份验证字段。该密钥对应于您在身份验证密钥语句中指定的密钥编号。

routing-instance-name routing-instance-name

(可选)配置接口在广播子网中具有地址的路由实例名称。

  • 默认: 默认路由实例用于广播数据包。

ttl value

(可选)配置生存时间 (TTL) 值。

  • 范围: 1 到 255

  • 默认值: 1

version value

(可选)指定要在传出 NTP 数据包中使用的版本号。

  • 范围: 1 到 4

  • 默认值: 4

broadcast-client

将本地设备配置为侦听本地网络上的广播消息,以发现同一子网上的其他服务器。为避免在此模式下发生意外或恶意中断,本地和远程系统都必须使用身份验证以及相同的可信密钥和密钥标识符。

interval-range value

配置轮询间隔范围。

  • 范围: 0 到 3

multicast-client <address>

将本地设备配置为侦听本地网络上的组播消息。为避免在此模式下发生意外或恶意中断,本地和远程系统都必须使用身份验证以及相同的可信密钥和密钥标识符。

  • 语法: <address>—(可选)指定一个或多个 IP 地址。如果指定地址,设备将加入这些组播组。

  • 默认值: 224.0.1.1

nts <local-certificate local-certificate><trusted-ca (trusted-ca-group trusted-ca-group | trusted-ca-profile trusted-ca-profile)

在设备上为 NTP 配置网络时间安全 (NTS) 功能。

local-certificate local-certificate

指定在证书注册期间加载到设备中的证书,或通过指定证书文件手动加载的证书。

trusted-ca

指定受信任的 CA 组或 CA 配置文件。此配置是可选的。如果未指定受信任的 CA 配置文件,NTP 将信任为 NTS 配置的所有 CA 配置文件。

trusted-ca-group trusted-ca-group

指定在 []set security pki trusted-ca-group 下定义的受信任 CA 组。

trusted-ca-profile trusted-ca-profile

指定受信任的 CA 配置文件。

peer address <key key-number> <prefer> <version value>

将本地设备配置为在对称主动模式下运行,远程系统位于指定地址。在此模式下,本地设备和远程系统可以相互同步。此配置在本地设备或远程系统可能是更好的时间来源的网络中非常有用。

address

远程系统的地址。必须指定地址,而不是主机名。

key key-number

(可选)发送到该地址的所有数据包都包括使用指定密钥号(除 0 以外的任何无符号 32 位整数)加密的身份验证字段。该密钥对应于您在身份验证密钥语句中指定的密钥编号。

prefer

(可选)将远程系统标记为首选主机,这意味着,如果所有其他因素都相同,则选择此远程系统在一组正确的操作系统之间进行同步。

version value

(可选)指定要在传出 NTP 数据包中使用的 NTP 版本号。

  • 范围: 1 到 4

  • 默认值: 4

restrict address mask network-mask noquery

限制来自主机(包括远程时间服务器)和子网的数据包。

  • 语法:

    • address- 指定主机或网络的 IP 地址。

    • 掩码 network-mask— 指定主机或网络的网络掩码。

    • noquery — 拒绝来自主机和子网的 ntpq 和 ntpdc 查询。这些查询可用于放大攻击。

server

将本地设备配置为在客户端模式下运行,远程系统位于指定地址。在此模式下,设备可以与远程系统同步,但远程系统永远无法与设备同步。

如果 NTP 客户端时间偏移,导致与 NTP 服务器的时间差超过 128 毫秒,则客户端将自动回退到同步状态。如果 NTP 客户端和服务器之间的偏移量超过 1000 秒阈值,客户端仍会与服务器同步,但它也会生成一条系统日志消息,指出已超过阈值。

address

远程系统的地址。必须指定地址,而不是主机名。

key key-number

(可选)发送到该地址的所有数据包都包括使用指定密钥号(除 0 以外的任何无符号 32 位整数)加密的身份验证字段。该密钥对应于您在身份验证密钥语句中指定的密钥编号。

prefer

(可选)将远程系统标记为首选主机,这意味着,如果所有其他因素都相同,则选择此远程系统在一组正确的操作系统之间进行同步。

routing-instance routing-instance

(可选)可通过其访问服务器的路由实例。

nts

启用 NTS,它使用传输层安全性 (TLS) 协议和经过身份验证的关联数据加密 (AEAD),以经过身份验证的方式获取用户的网络时间。在客户端设备上启用 NTS 时,指定的服务器还必须支持 NTS 功能。

version value

(可选)指定要在传出 NTP 数据包中使用的 NTP 版本号。

  • 范围: 1 到 4

  • 默认值: 4

source-addresssource-address <routing-instance [ routing-instance-name ]>

在设备接口之一上配置的有效 IP 地址,用作发送到 NTP 服务器的消息的源地址,也可以用作配置源地址的路由实例。

  • 默认: 接口的主地址

threshold seconds action (accept | reject)

配置 NTP 调整允许的最大阈值(以秒为单位),并指定 NTP 异常调整的模式。

  • 范围: 1 到 600 秒

  • 值: 配置以下选项之一:

    • 接受 — 为异常 NTP 调整启用日志模式。

    • 拒绝 - 为异常 NTP 调整启用拒绝模式。

trusted-key [ key-numbers ]

配置一个或多个密钥,当您将本地设备配置为将其时间与网络上的其他系统同步时,您可以使用这些密钥来验证其他时间服务器。每个密钥可以是除 0 之外的任何 32 位无符号整数。密钥对应于您在身份验证密钥语句中指定的密钥编号。

默认情况下,网络时间同步未经身份验证。设备同步到看起来具有最准确时间的任何系统。我们强烈建议您配置网络时间服务的身份验证。

所需权限级别

system - 在配置中查看此语句。

系统控制 - 将此语句添加到配置中。

发布信息

在 Junos OS 7.4 版之前引入的语句。

routing-instance Junos OS 18.1 版中引入的语句选项 server

restrict 在 Junos OS 20.1 版中引入的语句。