NTP 身份验证密钥
可以对时间同步进行身份验证,以确保交换机仅从已知来源获取其时间服务。默认情况下,网络时间同步未经过身份验证。交换机将同步到任何看起来具有最准确时间的系统。强烈建议您配置网络时间服务的身份验证。
要对其他时间服务器进行身份验证,请在[edit system ntp]层次结构级别包含语trusted-key句。可信密钥是指 NTP 信任并使用的已配置密钥,用于安全时钟同步。中未引用trusted-key的任何已配置密钥均未限定,并被 NTP 拒绝。只有传输包含指定密钥编号之一的网络时间数据包的时间服务器才有资格进行同步。此外,密钥需要与为该密钥编号配置的值匹配。其他系统无需经过身份验证即可同步到本地交换机。
[edit system ntp] trusted-key[ key-numbers ];
每个键可以是除 0 之外的任意 32 位无符号整数。在对等方、服务器或broadcast语句中包括密钥选项,以便在传输数据包时传输指定的身份验证密钥。如果远程系统启用了身份验证,以便可以同步到本地系统,则密钥是必需的。
要定义身份验证密钥,请在[edit system ntp]层次结构级别包含语authentication-key句:
[edit system ntp] authentication-key key-number type type value password;
number 是密钥编号, type 是身份验证类型(仅支持消息摘要 5 [MD5]、SHA1 和 SHA256), password 是此密钥的密码。在使用该特定密钥进行身份验证的所有系统上,密钥号、类型和密码必须匹配。密码中不得有用于配置网络时间协议 (NTP) 身份验证密钥的空间。
注意:注意:
EX4300、EX4600 和相关非 MP 设备(如 QFX5100(运行 BSD6 的 EX 和 QFX 型号)仅支持 NTP 的 MD5 身份验证,不支持 SHA-1 和 SHA-256 身份验证类型。