NTP 时间服务器
IETF 定义了网络时间协议 (NTP),用于同步通过网络相互连接的计算机系统的时钟。大多数大型网络都有一个 NTP 服务器,可确保所有设备上的时间同步,而不受设备位置的影响。如果您在网络上使用一个或多个 NTP 服务器,请确保在 Junos OS 配置中包含 NTS 服务器地址。
配置 NTP 时,可以指定网络上的哪个系统是权威时间源或时间服务器,以及如何在网络上的系统之间同步时间。为此,请将路由器、交换机或安全设备配置为在以下模式之一下运行:
-
客户端模式 — 在此模式下,本地路由器或交换机可以与远程系统同步,但远程系统永远无法与本地路由器或交换机同步。
-
对称活动模式 — 在此模式下,本地路由器或交换机与远程系统可以相互同步。在这样的网络中,使用此模式时,本地路由器或交换机或者远程系统可能是更好的时间来源。
对称活动模式可由本地或远程系统启动。只需配置一个系统即可执行此操作。这意味着本地系统可以与任何提供对称活动模式的系统同步,而无需任何配置。但是,我们强烈建议您配置身份验证,以确保本地系统仅与已知时间服务器同步。
-
广播模式 — 在此模式下,本地路由器或交换机会定期向位于指定广播或组播地址的客户端群体发送广播消息。通常,仅当本地路由器或交换机作为发射器运行时,才包含此语句。
-
服务器模式 — 在此模式下,本地路由器或交换机作为 NTP 服务器运行。
在 NTP 服务器模式下,Junos OS 支持如下所示的身份验证:
-
如果来自客户端的 NTP 请求带有身份验证密钥(例如随数据包发送的密钥 ID 和消息摘要),则将根据身份验证密钥匹配处理和应答请求。
-
如果来自客户端的 NTP 请求没有任何身份验证密钥,则无需身份验证即可处理和应答请求。
-
配置 NTP 时间服务器和时间服务
使用 NTP 时,请将路由器或交换机配置为在以下模式之一下运行:
-
客户端模式 — 将路由器或交换机配置为在客户端模式下运行
-
对称活动模式 — 将路由器或交换机配置为在对称活动模式下运行
-
广播模式 — 将路由器或交换机配置为在广播模式下运行
-
服务器模式 — 将路由器或交换机配置为在服务器模式下运行
将路由器或交换机配置为在客户端模式下运行
要将本地路由器或交换机配置为在客户端模式下运行,请在[edit system ntp]层次结构级别添加server语句和其他可选语句:
[edit system ntp] server address <key key-number> <version value> <prefer>; authentication-key key-number type type value password; trusted-key[key-numbers];
指定充当时间服务器的系统的地址。您必须指定地址,而不是主机名。
若要在发送到时间服务器的所有消息中包含身份验证密钥,请包括 密钥 选项。密钥对应于您在语句中 authentication-key 指定的密钥编号,如 中所述。
默认情况下,路由器或交换机会向时间服务器发送 NTP 版本 4 数据包。若要将 NTP 版本级别设置为 1、2 或 3,请包含 版本 选项。
如果配置多个时间服务器,则可以通过包含 首选 选项来标记首选服务器。
以下示例说明如何将路由器或交换机配置为在客户端模式下运行:
[edit system ntp] authentication-key 1 type md5 value "$ABC123"; server 10.1.1.1 key 1 prefer; trusted-key 1;
将路由器或交换机配置为在对称活动模式下运行
要将本地路由器或交换机配置为在对称活动模式下运行,请在[edit system ntp]层次结构级别包含以下peer语句:
[edit system ntp] peer address <key key-number> <version value> <prefer>;
指定远程系统的地址。您必须指定地址,而不是主机名。
要在发送到远程系统的所有消息中包含身份验证密钥,请包括 密钥 选项。密钥对应于您在语句中 authentication-key 指定的密钥编号。
默认情况下,路由器或交换机会将 NTP 版本 4 数据包发送到远程系统。若要将 NTP 版本级别设置为 1、2 或 3,请包含 版本 选项。
如果配置多个远程系统,则可以通过包含 首选 选项来标记一个首选系统:
peer address <key key-number> <version value> prefer;
将路由器或交换机配置为在广播模式下运行
要将本地路由器或交换机配置为在广播模式下运行,请在[edit system ntp]层次结构级别包含以下broadcast语句:
[edit system ntp] broadcast address <key key-number> <version value> <ttl value>;
指定其中一个本地网络上的广播地址或分配给 NTP 的组播地址。您必须指定地址,而不是主机名。如果使用组播地址,则必须是 224.0.1.1。应在面向 NTP 客户端的接口上启用组播协议、PIM 和 IGMP,以便设备通过组播地址 224.0.1.1 传输 NTP 数据包。运行以下命令以执行此操作:
set protocols igmp interface <interface_name> static group 224.0.1.1 set protocols pim rp local address <interface_ip> set protocols pim interface <interface_name> mode sparse-dense
设备上的路由实例不支持通过组播的 NTP。
要在发送到远程系统的所有消息中包含身份验证密钥,请包括密钥选项。密钥对应于您在语句中 authentication-key 指定的密钥编号。
默认情况下,路由器或交换机会将 NTP 版本 4 数据包发送到远程系统。若要将 NTP 版本级别设置为 1、2 或 3,请包含版本选项。
将路由器或交换机配置为在服务器模式下运行
在服务器模式下,如果客户端配置正确,路由器或交换机将充当客户端的 NTP 服务器。“服务器模式”的唯一先决条件是路由器或交换机必须从另一个 NTP 对等方或服务器接收时间。无需在路由器或交换机上进行其他配置。
在管理 VRF (mgmt_junos) 中配置 NTP 服务时,必须在默认路由实例中的物理或逻辑接口上至少配置一个 IP 地址,并确保此接口已打开,以便 NTP 服务能够与mgmt_junos VRF 配合使用。
要将本地路由器或交换机配置为作为 NTP 服务器运行,请在 [edit system ntp] 层次结构级别包含以下语句:
[edit system ntp] authentication-key key-number type type value password; server address <key key-number> <version value> <prefer>; trusted-key [key-numbers];
指定充当时间服务器的系统的地址。您必须指定地址,而不是主机名。
若要在发送到时间服务器的所有消息中包含身份验证密钥,请包括 密钥 选项。密钥对应于您在语句中 authentication-key 指定的密钥编号。
默认情况下,路由器或交换机会向时间服务器发送 NTP 版本 4 数据包。若要将 NTP 版本级别设置为 1、2 或 3,请包含 version 选项。
如果配置多个时间服务器,则可以通过包含 首选 选项来标记首选服务器。
以下示例说明如何将路由器或交换机配置为在服务器模式下运行:
[edit system ntp] authentication-key 1 type md5 value "$ABC123"; server 192.168.27.46 prefer; trusted-key 1;
从 unos OS 演化版 24.2R1 开始,将添加以下选项来配置 NTS 功能:
[edit system ntp]
nts
{
local-certificate <certificate-id of local certificate>;
trusted-ca (trusted-ca-group <trusted ca-group name> | trusted-ca-profile <ca-profile name>);
}
[edit system ntp server <server>]
nts remote-identity
{
hostname <FQDN of server>;
distinguished-name (container <container-string> | wildcard <wild-card string>);
}