Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

NTP 时间服务器

IETF 定义了网络时间协议 (NTP),以同步通过网络相互连接的计算机系统的时钟。大多数大型网络都有一个 NTP 服务器,无论设备位于何处,都可以确保所有设备上的时间同步。如果在网络上使用一个或多个 NTP 服务器,请确保在 Junos OS 配置中包含 NTS 服务器地址。

配置 NTP 时,可以指定网络上的哪个系统为权威时间源或时间服务器,以及如何在网络上的系统之间同步时间。为此,请将路由器、交换机或安全设备配置为以以下模式之一运行:

  • 客户端模式 — 在此模式下,本地路由器或交换机可与远程系统同步,但远程系统永远无法与本地路由器或交换机同步。

  • 对称活动模式 — 在此模式下,本地路由器或交换机与远程系统可以相互同步。如果网络中本地路由器或交换机或远程系统可能是更好的时间来源,则使用此模式。

    对称活动模式可以由本地或远程系统启动。为此只需配置一个系统。这意味着,本地系统可以与提供对称活动模式的任何系统同步,而无需任何配置。但是,我们强烈建议您配置身份验证,以确保本地系统仅与已知时间服务器同步。

  • 广播模式 — 在此模式下,本地路由器或交换机定期向指定广播或组播地址的客户端群体发送广播消息。通常,仅当本地路由器或交换机作为发射器运行时,才包含此语句。

  • 服务器模式 — 在此模式下,本地路由器或交换机作为 NTP 服务器运行。

    在 NTP 服务器模式下,Junos OS 支持如下身份验证:

    • 如果来自客户端的 NTP 请求带有身份验证密钥(例如随数据包发送的密钥 ID 和消息摘要),则将根据身份验证密钥匹配项处理和响应请求。

    • 如果来自客户端的 NTP 请求没有任何身份验证密钥,则无需身份验证即可处理和应答请求。

    注意:

    建议配置至少 3 台和最多 5 台可靠的 NTP 服务器,以提高时间精度、容错能力和候选服务器选择。为了提高安全性,请启用身份验证(使用共享密钥或 NTS),以确保仅与可信和经过验证的源进行时间同步。

配置 NTP 时间服务器和时间服务

使用 NTP 时,请将路由器或交换机配置为在以下模式之一下运行:

  • 客户端模式

  • 对称活动模式

  • 广播模式

  • 服务器模式

将路由器或交换机配置为在客户端模式下运行

要将本地路由器或交换机配置为在客户端模式下运行,请在层次结构级别包括server[edit system ntp]该语句和其他可选语句:

指定充当时间服务器的系统的地址。您必须指定地址,而不是主机名。

要在发送到时间服务器的所有邮件中包含身份验证密钥,请包括 密钥 选项。密钥对应于您在语句中 authentication-key 指定的密钥编号,如 中所述。

默认情况下,路由器或交换机会向时间服务器发送 NTP 版本 4 数据包。要将 NTP 版本级别设置为 1、2 或 3,请包括 version 选项。

如果配置多个时间服务器,则可以通过包含 首选 选项将一个服务器标记为首选。

以下示例说明如何将路由器或交换机配置为在客户端模式下运行:

将路由器或交换机配置为在对称活动模式下运行

要将本地路由器或交换机配置为在对称活动模式下运行,请在层次结构级别包含[edit system ntp]peer语句:

指定远程系统的地址。您必须指定地址,而不是主机名。

要在发送到远程系统的所有消息中包括身份验证密钥,请包括 密钥 选项。密钥与您在语句中 authentication-key 指定的密钥编号对应。

默认情况下,路由器或交换机会向远程系统发送 NTP 版本 4 数据包。要将 NTP 版本级别设置为 1、2 或 3,请包括 版本 选项。

如果配置多个远程系统,则可以通过包含 首选 选项将一个系统标记为首选:

将路由器或交换机配置为在广播模式下运行

请按照以下步骤将设备配置为在广播模式下运行:

  1. (选答)要在发送到远程系统的所有消息中包括身份验证密钥,请设置密钥选项。密钥与您在语句中 authentication-key 指定的密钥编号对应。

  2. 配置设备上的 NTP 服务器地址。

  3. 将设备配置为使用 IPv4 或 IPv6 组播通告时间更新。

    要使设备在广播模式下工作,您需要在设备上启用组播。指定其中一个本地网络上的广播地址或分配给 NTP 的组播地址。不允许使用主机名。如果使用组播地址,则 IPv4 必须为 224.0.1.1,IPv6 必须为 ff05::101。

  4. (选答)默认情况下,设备会向远程系统发送 NTP 版本 4 数据包。要将 NTP 版本级别设置为 1、2 或 3,请包括 version 选项。

  5. 将设备配置为对 NTP 数据包使用特定的源地址。

  6. 在所有面向NTP客户端的接口上启用组播协议PIM,以方便设备通过组播地址(224.0.1.1或ff05::101)传输NTP数据包。

  7. 对于 IPv4 地址 (224.0.1.1),应在面向 NTP 客户端的接口上启用 IGMP。

  8. 对于 IPv6 地址 (ff05::101),请在每个面向 NTP 客户端的子接口上启用 MLD(组播侦听方发现),以加入组播组 ff05::101。

注意:

  • 使用命令配置 set system ntp broadcast address <routing-instance-name routing-instance-name> NTP 时,指定的路由实例必须是 L3 路由实例。NTP 不支持 EVPN 和 VPLS 等 L2 路由实例,因此不得在 NTP 配置中指定。

  • 设备上的路由实例不支持通过组播的 NTP。

将路由器或交换机配置为在服务器模式下运行

在服务器模式下,当客户端配置正确时,路由器或交换机将充当客户端的 NTP 服务器。“服务器模式”的唯一先决条件是路由器或交换机必须从另一个 NTP 对等方或服务器接收时间。路由器或交换机不需要其他配置。

在管理 VRF (mgmt_junos) 中配置 NTP 服务时,您必须在默认路由实例的物理或逻辑接口上至少配置一个 IP 地址,并确保此接口处于开启状态,以便 NTP 服务可与 mgmt_junos VRF 配合使用。

要将本地路由器或交换机配置为作为 NTP 服务器运行,请在层次结构级别包含 [edit system ntp] 以下语句:

指定充当时间服务器的系统的地址。您必须指定地址,而不是主机名。

要在发送到时间服务器的所有邮件中包含身份验证密钥,请包括 密钥 选项。密钥与您在语句中 authentication-key 指定的密钥编号对应。

默认情况下,路由器或交换机会向时间服务器发送 NTP 版本 4 数据包。要将 NTP 版本级别设置为 1、2 或 3,请包括 版本 选项。

如果配置多个时间服务器,则可以通过包含 首选 选项将一个服务器标记为首选。

以下示例说明如何将路由器或交换机配置为在服务器模式下运行:

从 Junos OS 演化版 24.2R1 版开始,添加了以下选项来配置 NTS 功能:

相关文档