Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

网络时间协议

总结 网络时间协议 (NTP) 是一种用于在网络中的所有设备上同步时间的协议。

NTP 概述

网络时间协议 (NTP) 是一种广泛使用的协议,用于同步互联网上路由器和其他硬件设备的时钟。主要 NTP 服务器会同步到可直接追踪到协调世界时 (UTC) 的参考时钟。参考时钟包括 GPS 接收器和电话调制解调器服务,NTP 精度预期取决于环境应用要求。但是,NTP 通常可以通过公共互联网将时间维持在几十毫秒内。

NTP 在 RFC 5905 中定义:网络时间协议版本 4:协议和算法规范

运行 Junos OS 的设备可配置为 NTP 客户端、辅助 NTP 服务器或主 NTP 服务器。这些变体如下所示:

  • 主 NTP 服务器 — 主要 NTP 服务器会同步到可直接追踪到 UTC 的参考时钟。然后,这些服务器此时会将数据重新分发到下游的其他辅助 NTP 服务器或 NTP 客户端。

  • 辅助 NTP 服务器 — 辅助 NTP 服务器会同步到主要或辅助 NTP 服务器。然后,这些服务器会将这些数据重新分发到其他辅助 NTP 服务器或 NTP 客户端。

  • NTP 客户端 — NTP 客户端同步到主要或辅助 NTP 服务器。客户端这次不会将数据重新分发到其他设备。

注意:

NTP 子网包括许多可广泛访问的公共主时间服务器,这些服务器可用作网络的主要 NTP 服务器。瞻博网络强烈建议您对使用的任何主服务器进行身份验证。

网络上的每个设备均可配置为在以下一个或多个 NTP 模式下运行:

  • 广播模式 — 设置一个或多个设备,用于将时间信息传输到指定的广播或组播地址。其他设备侦听这些地址上的时间同步数据包。此模式不如客户端/服务器模式准确。

  • 客户端/服务器模式 — 设备以客户端/服务器关系在网络中分层组织。

  • 对称主动(对等)模式 — 两个或多个设备配置为 NTP 服务器对等方,以提供冗余。

默认情况下,如果 NTP 客户端时间漂移导致与 NTP 服务器的时间差超过 128 毫秒,则 NTP 客户端会自动重新同步。即使 NTP 客户端与服务器之间的偏移超过 1000 秒阈值,NTP 客户端仍会与服务器同步。您可以使用路由器上的操作命令,手动请求设备与 NTP 服务器 set date ntp 同步。在运行具有双路由引擎的 Junos OS 的设备上,备份路由引擎直接与主路由引擎同步。

运行 Junos OS 的所有瞻博网络平台都支持跃秒调整。默认情况下,如果 NTP 服务器知道跃秒计算,则 Junos 设备将自动添加 1 秒延迟。PTP(精确时间协议)用于检测并传播整个网络中所有节点的跃秒同步更改。为了符合通用标准,还需要 NTP。有关通用标准认证的更多信息,请参阅 公共部门认证

有关网络时间协议的详细信息,请访问网络时间基金会网站 ,网址:http://www.ntp.org

NTP 在 Junos OS 上支持 IPv4 VPN 和 IPv6 路由和转发 (VRF) 请求。从 Junos OS 演化版 20.2R1 开始也支持 VRF 请求。这使得在提供商边缘 (PE) 路由器上运行的 NTP 服务器能够响应来自客户边缘 (CE) 路由器的 NTP 请求。因此,PE 路由器可以处理来自不同路由实例的任何 NTP 请求数据包。

NTP 的网络时间安全 (NTS) 支持

NTS 概述

NTS 为网络时间同步提供加密安全性并支持 NTP 的客户端-服务器模式。NTS 使用传输层安全 (TLS) 协议并使用关联数据进行验证加密 (AEAD),以经过身份验证的方式向用户获取网络时间。NTS 还支持对 NTP 扩展字段进行加密。

最重要的安全流程取决于准确的时间。来自恶意来源的网络时间同步会导致严重后果。启用 NTS 可确保设备上的网络时间同步准确无误。

NTS 的优势

  • 提供强大的加密保护,抵御各种安全攻击,例如数据包操纵、欺骗、DDOS 放大攻击和重放攻击
  • 确保来自可靠来源的准确网络时间同步
  • 提供可扩展性:服务器可以服务于多个客户端,无需手动预配置任何客户端特定的配置。由于使用 Cookie,服务器不需要在本地存储客户端特定的数据,如密钥和 AEAD 算法
  • 阻止跟踪移动设备

使用 NTS 实现网络时间同步

NTS 由两种协议组成:NTS 密钥建立协议 (NTS-KE) 和使用 NTS 扩展字段的 NTP 时间同步。 图 1 显示了 NTS 中的交互。

NTS-KE 协议

在 NTS-KE 协议阶段,NTS-KE 协议通过 TLS 按以下顺序管理初始身份验证、NTS 参数协商和密钥建立:

  1. 客户端与 NTS-KE 服务器执行 TLS 握手,并成功验证证书。
  2. 客户端通过 TLS 保护的通道与服务器执行 NTS 参数协商。协商的密码算法是 AEAD 方法,该方法在第二阶段保护 NTP 数据包。

  3. 客户端和服务器成功建立了通信的关键材料。

  4. 服务器还会向客户端发送一个初始 Cookie,供其在下一阶段使用。

  5. TLS 通道关闭,NTP 进入实际时间数据交换的下一阶段。

NTS 仅支持 TLS 1.3 版。在 NTS-KE 协议阶段,较旧的 TLS 版本将被拒绝。

使用 NTS 扩展字段的 NTP 时间同步

在 NTP 时间同步期间,此阶段通过 NTP 数据包中的扩展字段按以下顺序管理加密和身份验证:

  1. 客户端使用 NTS 扩展字段查询 NTP 服务器的时间。这些扩展字段包括使用协商的 AEAD 算法计算的 Cookie 和身份验证标记,以及从 NTS-KE 握手中提取的密钥材料。

    NTS 安全 NTP 客户端请求包含以下 NTS 扩展字段:

    • 唯一标识符扩展字段:包含随机生成的数据,并提供在 NTS 级别重放保护的方法。

    • NTS Cookie 扩展字段:包含有关在 NTS-KE 阶段建立的密钥材料和协商的密码算法的信息。Cookie 在请求中只会使用一次,以防止跟踪。

    • NTS Cookie 占位符扩展字段:(可选)向服务器通报客户端希望在响应数据包中接收其他 Cookie。

    • NTS 验证方和加密扩展字段:使用在 NTS-KE 期间建立的 AEAD 算法和密钥生成。此字段为 NTP 报头和之前的所有扩展字段提供完整性保护。

    不断刷新 Cookie 可防止设备在网络地址更改时进行跟踪。例如,跨不同网络移动的移动设备。由于缺乏任何可识别的数据,攻击者无法确定通过不同网络地址发送的两个数据包来自同一个客户端。

  2. 当服务器从客户端收到 NTS 安全的请求时,服务器会使用主密钥解密 Cookie。

  3. 服务器提取协商的 AEAD 算法和 Cookie 中提供的密钥。服务器使用此密钥检查 NTP 数据包的完整性,以确保不会操纵数据包。

  4. 服务器会生成一个或多个新 Cookie 并创建 NTP 响应数据包。服务器会为客户端在请求数据包中添加的每个 Cookie 占位符扩展字段生成至少一个新的 Cookie 和一个附加 Cookie。

    响应数据包包含两个 NTS 扩展字段:

    • 唯一标识符扩展字段,其内容与请求数据包中唯一标识符字段中的内容相同。
    • NTS 验证方和加密扩展字段,使用提取的密钥保护 NTP 报头和之前的扩展字段。
  5. 服务器还会对 Cookie 进行加密,并将其包括在 NTS 验证器和加密扩展字段中。此过程还可以保护客户端不受跟踪,因为攻击者无法从响应消息中提取 Cookie。

  6. 服务器敲定响应数据包并将数据包发送至客户端。

  7. 客户端接收响应数据包。

  8. 客户端检查唯一标识符字段并验证唯一标识符是否与未完成请求匹配。

  9. 客户端使用密钥和 AEAD 算法成功执行数据包完整性检查。

  10. 客户端解密 Cookie 并将其添加到池中,并处理从服务器接收的时间信息。

NTP 时间服务器

IETF 定义了网络时间协议 (NTP),用于同步通过网络相互连接的计算机系统的时钟。大多数大型网络都有一个 NTP 服务器,无论设备位于何处,都可以确保所有设备上的时间得到同步。如果在网络上使用一个或多个 NTP 服务器,请确保在 Junos OS 配置中包含 NTS 服务器地址。

配置 NTP 时,您可以指定网络上的哪个系统是权威时间源或时间服务器,以及如何在网络上的系统之间同步时间。为此,您可以将路由器、交换机或安全设备配置为在以下模式之一中运行:

  • 客户端模式 — 在此模式下,本地路由器或交换机可与远程系统同步,但远程系统绝不能与本地路由器或交换机同步。

  • 对称活动模式 — 在此模式下,本地路由器或交换机与远程系统可以相互同步。您可以在网络中使用此模式,而本地路由器、交换机或远程系统可能是更好的时间源。

    对称活动模式可由本地系统或远程系统启动。只需配置一个系统即可。这意味着本地系统可与提供对称活动模式的任何系统同步,而无需任何配置。但是,我们强烈建议您配置身份验证,以确保本地系统仅与已知时间服务器同步。

  • 广播模式 — 在此模式下,本地路由器或交换机在指定的广播或组播地址向客户端群体发送定期广播消息。通常,只有当本地路由器或交换机作为发射器工作时,才包含此语句。

  • 服务器模式 — 在此模式下,本地路由器或交换机作为 NTP 服务器运行。

    在 NTP 服务器模式下,Junos OS 支持如下身份验证:

    • 如果来自客户端的 NTP 请求附带一个身份验证密钥(例如,密钥 ID 和随数据包一起发送的消息摘要),将根据身份验证密钥匹配来处理和回答请求。

    • 如果来自客户端的 NTP 请求没有任何身份验证密钥,则无需身份验证即可处理和回答请求。

配置 NTP 时间服务器和时间服务

使用 NTP 时,请将路由器或交换机配置为以以下模式之一运行:

  • 客户端模式

  • 对称主动模式

  • 广播模式

  • 服务器模式

以下主题介绍如何配置这些操作模式:

将路由器或交换机配置为在客户端模式下操作

要配置本地路由器或交换机在客户端模式下操作,请在层次结构级别添加语句 server 和其他可选语句 [edit system ntp]

指定用作时间服务器的系统地址。您必须指定地址,而非主机名。

要向时间服务器发送的所有消息中包含身份验证密钥,请包含 密钥 选项。该密钥与您在语句中 authentication-key 指定的密钥编号相对应,如中所述。

默认情况下,路由器或交换机向时间服务器发送 NTP 版本 4 数据包。要将 NTP 版本级别设置为 1、2 或 3,请包括 版本 选项。

如果配置多个时间服务器,可以通过包含首选选项来标记一个服务器 首选

以下示例说明如何将路由器或交换机配置为在客户端模式下运行:

将路由器或交换机配置为在对称主动模式下运行

要将本地路由器或交换机配置为在对称主动模式下运行,请在 peer 层次结构级别添加语句 [edit system ntp]

指定远程系统的地址。您必须指定地址,而非主机名。

要向远程系统发送的所有消息中包含身份验证密钥,请包含 密钥 选项。密钥与您在语句中 authentication-key 指定的密钥编号相对应。

默认情况下,路由器或交换机向远程系统发送 NTP 版本 4 数据包。要将 NTP 版本级别设置为 1、2 或 3,请包括 版本 选项。

如果配置多个远程系统,可以通过添加首选选项来标记一个系统 首选

将路由器或交换机配置为在广播模式下运行

要配置本地路由器或交换机在广播模式下运行,请在 broadcast 层级添加语句 [edit system ntp]

指定其中一个本地网络上的广播地址或分配给 NTP 的组播地址。您必须指定地址,而非主机名。如果使用组播地址,则必须为 224.0.1.1。

要向远程系统发送的所有消息中包含身份验证密钥,请包含密钥选项。密钥与您在语句中 authentication-key 指定的密钥编号相对应。

默认情况下,路由器或交换机向远程系统发送 NTP 版本 4 数据包。要将 NTP 版本级别设置为 1、2 或 3,请包括版本选项。

将路由器或交换机配置为在服务器模式下运行

在服务器模式下,当客户端配置正确时,路由器或交换机充当客户端的 NTP 服务器。“服务器模式”的唯一先决条件是路由器或交换机必须从另一个 NTP 对等方或服务器接收时间。路由器或交换机上无需其他配置。

在管理 VRF (mgmt_junos) 中配置 NTP 服务时,您必须在默认路由实例内的物理或逻辑接口上至少配置一个 IP 地址,并确保此接口已启动,以便 NTP 服务能够与mgmt_junos VRF 配合使用。

要配置本地路由器或交换机作为 NTP 服务器运行,请在层级添加以下语句 [edit system ntp]

指定用作时间服务器的系统地址。您必须指定地址,而非主机名。

要向时间服务器发送的所有消息中包含身份验证密钥,请包含 密钥 选项。密钥与您在语句中 authentication-key 指定的密钥编号相对应。

默认情况下,路由器或交换机向时间服务器发送 NTP 版本 4 数据包。要将 NTP 版本级别设置为 1、、2 或 3,请包括 版本 选项。

如果配置多个时间服务器,可以通过包含首选选项来标记一个服务器 首选

以下示例显示如何将路由器或交换机配置为在服务器模式下运行:

示例:将 NTP 配置为用于路由器和交换机时钟同步的单个时间源

当同步所有路由器或交换机的日志文件中的时间戳时,调试和故障排除就轻松了,因为跨网络的事件可以与多个日志中的同步条目相关联。我们强烈建议使用网络时间协议 (NTP) 同步路由器、交换机和其他网络设备的系统时钟。

默认情况下,NTP 以完全未经身份验证的方式运行。如果恶意尝试影响路由器或交换机时钟的准确性成功,可能会对系统日志记录产生负面影响,使故障排除和入侵检测更加困难,并阻碍其他管理功能。

以下示例配置会将网络中的所有路由器或交换机同步到单个时间源。我们建议使用身份验证来确保 NTP 对等方可信。语句 boot-server 标识路由器启动时获取当天初始时间和日期的服务器。该 server 语句标识用于定期时间同步的 NTP 服务器。您可以通过该 source-address 语句为每个路由实例指定一个家族的源地址,该 authentication-key 语句指定应使用 HMAC-Message Digest 5 (MD5) 方案对密钥值进行哈希处理,从而防止路由器或交换机与作为时间服务器的攻击者主机同步。

使用 NTP 同步和协调时间分配

使用 NTP 同步和协调大型网络中的时间分布涉及以下任务:

配置 NTP

  • 要配置交换机上的 NTP,请在 ntp 层级添加语句 [edit system]

配置 NTP 启动服务器

启动交换机时,它会发出 ntpdate 请求,该请求会轮询网络服务器以确定本地日期和时间。您需要配置交换机用于确定交换机启动时间的服务器。否则,如果服务器的时间似乎与本地交换机的时间相去甚远,NTP 将无法同步到时间服务器。

  • 要配置 NTP 启动服务器,请在 boot-server 层级添加语句 [edit system ntp]

注意:

从 Junos OS 20.4R1 版开始,选项 boot-server 已弃用。

  • Junos OS 15.1 版起,要配置 NTP 启动服务器,请在层次结构级别添加 set ntp server 语句 [edit system ntp]

指定网络服务器的 IP 地址或主机名。

为 NTP 服务器指定源地址

对于 IP 版本 4 (IPv4),您可以指定,如果在某个环路接口地址上联系在 [edit system ntp] 层次结构级别配置的 NTP 服务器,则回复始终使用特定的源地址。这在响应来自您网络的 NTP 客户端请求时,或者当它本身向您的网络发送 NTP 请求时,控制用于访问您的网络的源地址 NTP 非常有用。

要配置回复始终使用的特定源地址以及请求由 NTP 服务器发起的请求将使用的源地址,请将语句 source-address 包含在 [edit system ntp] 层次结构级别。该 source-address 地址是在某个路由器或交换机接口上配置的有效 IP 地址。

[edit system ntp]
user@host#set source-address source-address

例如:

从 Junos OS 13.3 版和 Junos OS 演化版 20.2R1 开始,您可以在层级使用 routing-instance 语句 [edit system ntp source-address source-address] 配置源地址:

因此,通过 ntp source-test 路由实例中的任何接口发送 NTP 消息时,将使用源地址 12.12.12.12。

注意:

语句 routing-instance 是可选的,如果未配置,将使用接口的主地址。

为每个路由实例为每个系列指定一个源地址

例如:

在管理 VRF (mgmt_junos) 中配置 NTP 服务时,您必须在默认路由实例内的物理或逻辑接口上至少配置一个 IP 地址,并确保此接口已启动,以便 NTP 服务能够与mgmt_junos VRF 配合使用。

注意:

如果在环路接口上应用了防火墙过滤器,请确保 source-address 在层级为 NTP 服务器 [edit system ntp] 指定的防火墙过滤器明确包含在防火墙过滤器中的匹配标准之一。这使得 Junos OS 能够在环路接口上接受来自指定源地址的流量。

以下示例显示了一个防火墙过滤器,其源地址10.1.4.3在层次结构中包含的[edit firewall filter firewall-filter-name]语句中from指定:

source-address如果未为 NTP 服务器配置语句,请将环路接口的主地址包含在防火墙过滤器中。

NTP 配置

网络时间协议 (NTP) 提供了在大型、多样化的网络中同步时间和协调时间分布的机制。当同步所有路由器或交换机的日志文件中的时间戳时,调试和故障排除就轻松了,因为跨网络的事件可以与多个日志中的同步条目相关联。我们建议使用网络时间协议 (NTP) 同步路由器、交换机和其他网络设备的系统时钟。

要配置 NTP:

  1. 配置 Junos OS 以检索其首次启动的时间。

    boot-server 语句与 NTP 服务器的 IP 地址一起使用。如果配置了 DNS,您可以使用域名而不是 IP 地址。

    例如,为您的 NTP 服务器设置 172.16.1.1 IP 地址。

    例如,设置域名。在此示例中,域名由 pool.ntp.org 提供。

  2. 指定回复将始终使用的源地址,以及由 NTP 服务器发起的请求将使用的源地址,包括source-address层次结构级别的语句[edit system ntp]
    例如:
  3. 为每个路由实例为每个家族指定一个源地址。
    例如,配置了以下语句:
  4. (可选)配置一个或多个参考 NTP 服务器,以定期更新保持设备同步。

    这样做是一种很好的做法,因为 Junos OS 设备可以长时间保持运行,因此时钟可能会漂移。

    例如,为您的 NTP 服务器设置 172.16.1.1 IP 地址。

    例如,设置 pool.ntp.org 提供的域名。

  5. (可选)设置本地时区以匹配设备的位置。

    通用协调时间 (UTC) 为默认值。许多管理员更喜欢将所有设备配置为使用 UTC 时区。这种方法的好处是,您可以轻松地比较不同时区的设备网络中日志和其他事件的时间戳。

    另一方面,设置时区允许 Junos OS 以正确的本地格式呈现时间。

    例如:

  6. 验证配置。

    检查系统正常运行时间。此命令提供当前时间、设备上次启动时间、协议启动时间以及设备上次配置的时间。

    检查设备使用的时钟源的 NTP 服务器状态和关联。

    要配置路由器或交换机上的 NTP,请在 ntp 层级添加语句 [edit system]

示例:配置 NTP

网络时间协议 (NTP) 提供了在大型、多样化的网络中同步时间和协调时间分布的机制。NTP 采用可返回时间设计,在这种设计中,以自组织、分层主要辅助配置运行的分布式时间服务器通过有线或无线方式将子网内的本地时钟同步到国家时间标准。服务器还可以使用本地路由算法和时间守护程序重新分配参考时间。

此示例说明如何配置 NTP:

要求

此示例使用以下软件和硬件组件:

  • Junos OS 11.1 或更高版本

  • 连接到 NTP 启动服务器和 NTP 服务器所在网络的交换机

概述

当同步所有交换机日志文件中的时间戳时,调试和故障排除就轻松了,因为跨网络的事件可以与多个日志中的同步条目相关联。我们建议使用网络时间协议 (NTP) 来同步交换机和其他网络设备的系统时钟。

在此示例中,管理员希望将交换机中的时间同步到单个时间源。我们建议使用身份验证来确保 NTP 对等方可信。该 boot-server 语句标识交换机启动时获取一天中的初始时间和日期的服务器。该 server 语句标识用于定期时间同步的 NTP 服务器。该 authentication-key 语句指定使用 HMAC 消息摘要 5 (MD5) 方案对密钥值进行哈希处理以用于身份验证,从而防止交换机与攻击者的主机同步,而攻击者的主机则作为时间服务器。

配置

要配置 NTP:

程序

CLI 快速配置

要快速配置 NTP,请复制以下命令并将其粘贴到交换机的终端窗口中:

逐步过程

要配置 NTP:

  1. 指定启动服务器:

  2. 指定 NTP 服务器:

  3. 为每个路由实例为每个家族指定一个源地址:

  4. 指定密钥编号、身份验证类型 (MD5) 和身份验证密钥:

结果

检查结果:

验证

要确认配置正确,请执行以下任务:

检查时间

目的

检查交换机上设置的时间。

行动

输入 show system uptime 操作模式命令以显示时间。

意义

输出显示,当前日期和时间为 2009 年 6 月 12 日和 PDT 12:49:03。交换机在 4 周、6 小时和 24 分钟前启动,其协议在启动前约 3 分钟启动。交换机上一次配置由用户 管理员 于 2009 年 5 月 27 日,目前有一个用户登录到交换机。

输出还显示,最后一分钟负载平均为 0.05 秒,最后 5 分钟为 0.06 秒,最后 15 分钟为 0.01 秒。

显示 NTP 对等方

目的

验证是否已从 NTP 服务器获取时间。

行动

输入 show ntp associations 操作模式命令以显示从交换机获取其时间的 NTP 服务器。

意义

NTP 服务器名称(对等方)前面的星号 (*) 表示时间已同步,并从此服务器获取。延迟、偏移和抖动以毫秒为单位。

显示 NTP 状态

目的

查看 NTP 服务器的配置和系统状态。

行动

输入 show ntp status 操作模式命令以查看 NTP 的状态。

意义

输出显示有关交换机和 NTP 的状态信息。

NTP 身份验证密钥

时间同步可以通过身份验证,以确保交换机仅从已知来源获取其时间服务。默认情况下,网络时间同步是未经身份验证的。交换机将同步到任何系统,看起来有最准确的时间。我们强烈建议您配置网络时间服务身份验证。

要验证其他时间服务器,请将该 trusted-key 语句包含在 [edit system ntp] 层次结构级别。可信密钥是指 NTP 信任并使用其实现安全时钟同步的配置密钥。中未引用 trusted-key 的任何配置密钥都不符合条件,并且会遭到 NTP 拒绝。只有传输包含指定密钥编号之一的网络时间数据包的时间服务器才有资格进行同步。此外,密钥需要与为该密钥编号配置的值匹配。其他系统无需身份验证即可同步到本地交换机。

每个密钥可以是除 0 以外的任何 32 位无符号整数。 传输数据包时,在 对等方服务器broadcast 语句中包括密钥选项,以传输指定的身份验证密钥。如果远程系统启用了身份验证,则密钥是必要的,以便它可以同步到本地系统。

要定义身份验证密钥,请将语句 authentication-key 包含在 [edit system ntp] 层次结构级别:

number 是密钥编号, type 是身份验证类型(仅支持消息摘要 5 [MD5]、SHA1 和 SHA256),也是 password 此密钥的密码。使用该特定密钥进行身份验证的所有系统上,密钥编号、类型和密码必须匹配。用于配置网络时间协议 (NTP) 身份验证密钥的密码中不得有空格。

注意:

EX4300、EX4600 和相关的非 MP 设备,如 QFX5100(运行 BSD6 的 EX 和 QFX 型号),仅支持 NTP 的 MD5 身份验证,不支持 SHA-1 和 SHA-256 身份验证类型。

配置设备以侦听使用 NTP 的广播消息

使用 NTP 时,您可以将本地路由器或交换机配置为侦听本地网络上的广播消息,通过在层次结构级别包含语句broadcast-client[edit system ntp]来发现同一子网中的其他服务器:

当路由器或交换机首次检测到广播消息时,它会使用与远程服务器的简短客户端-服务器交换来测量标称网络延迟。然后,它将进入 广播客户端 模式,在此模式下,它会侦听成功的广播消息并同步到该模式。

为避免在这种模式下发生意外或恶意中断,本地系统和远程系统都必须使用身份验证以及相同的可信密钥和密钥标识符。

将设备配置为使用 NTP 侦听组播消息

使用 NTP 时,您可以将本地路由器或交换机配置为侦听本地网络上的组播消息,通过在层次结构级别包含语句multicast-client[edit system ntp]来发现同一子网中的其他服务器:

当路由器或交换机第一次收到组播消息时,它会使用与远程服务器的简短客户端-服务器交换来测量标称网络延迟。然后,它会进入 组播客户端 模式,在此模式下,它会侦听并同步成功发送组播消息。

您可以指定一个或多个 IP 地址。(您必须指定地址,而非主机名。)如果这样做,路由器或交换机将加入这些组播组。如果未指定任何地址,软件将使用 224.0.1.1

为避免在这种模式下发生意外或恶意中断,本地系统和远程系统都必须使用身份验证以及相同的可信密钥和密钥标识符。