NTP-Zeitsynchronisation auf Chassis-Cluster
Network Time Protocol (NTP) wird verwendet, um die Zeit zwischen der Packet Forwarding Engine und der Routing-Engine in einem eigenständigen Gerät und zwischen zwei Geräten in einem Chassis-Cluster zu synchronisieren. Weitere Informationen finden Sie in den folgenden Themen:
NTP-Zeitsynchronisation auf Geräten der SRX-Serie
Sowohl im Standalone- als auch im Chassis-Cluster-Modus führt die primäre Routing-Engine den NTP-Prozess aus, um die Uhrzeit vom externen NTP-Server abzurufen. Obwohl das sekundäre Routingmodul den NTP-Prozess ausführt, um die Uhrzeit vom externen NTP-Server abzurufen, schlägt dieser Versuch aufgrund von Netzwerkproblemen fehl. Aus diesem Grund verwendet die sekundäre Routing-Engine NTP, um die Uhrzeit von der primären Routing-Engine abzurufen.
Verwenden Sie NTP für Folgendes:
Senden Sie die Uhrzeit von der primären Routing-Engine an die sekundäre Routing-Engine über die Chassis-Cluster-Steuerverbindung.
Rufen Sie die Zeit von einem externen NTP-Server zur primären oder einer eigenständigen Routing-Engine ab.
Rufen Sie die Zeit vom NTP-Prozess der Routing-Engine zur Paketweiterleitungs-Engine ab.
Ab Junos OS Version 15.1X49-D70 und Junos OS Version 17.3R1 wird die Konfiguration des NTP-Zeitanpassungsschwellenwerts auf SRX300-, SRX320-, SRX340-, SRX345-, SRX1500-, SRX1600-, SRX2300-, SRX4100-, SRX4200-, SRX5400-, SRX5600- und SRX5800-Geräten und vSRX Virtual Firewall-Instanzen unterstützt. Mit dieser Funktion können Sie den NTP-Anpassungsschwellenwert für den NTP-Dienst konfigurieren und erzwingen und die Sicherheit und Flexibilität des NTP-Dienstprotokolls verbessern.
Siehe auch
Beispiel: Vereinfachung des Netzwerkmanagements durch Synchronisierung des Primär- und Backup-Knotens mit NTP
Dieses Beispiel zeigt, wie Sie die Verwaltung vereinfachen können, indem die Zeit zwischen zwei Firewalls der SRX-Serie, die in einem Chassis-Cluster betrieben werden, synchronisiert wird. Mithilfe eines NTP-Servers (Network Time Protocol) kann der primäre Knoten die Zeit mit dem sekundären Knoten synchronisieren. NTP wird verwendet, um die Zeit zwischen der Paketweiterleitungs-Engine und der Routing-Engine in einem eigenständigen Gerät und zwischen zwei Geräten in einem Chassis-Cluster zu synchronisieren. Sie müssen die Systemuhren auf beiden Knoten der Firewalls der SRX-Serie in einem Chassis-Cluster synchronisieren, um die folgenden Elemente verwalten zu können:
Echtzeitobjekte (RTO)
Lizenzen
Softwareaktualisierungen
Knoten-Failover
Analysieren von Systemprotokollen (Syslogs)
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Firewalls der SRX-Serie, die in einem Chassis-Cluster arbeiten
Junos OS Version 12.1X47-D10 oder höher
Bevor Sie beginnen:
Machen Sie sich mit den Grundlagen des Netzwerkzeitprotokolls vertraut. Weitere Informationen finden Sie unter NTP-Übersicht.
Übersicht
Wenn Firewalls der SRX-Serie im Chassis-Cluster-Modus betrieben werden, kann der sekundäre Knoten nicht über den Umsatzport auf den externen NTP-Server zugreifen. Junos OS, Version 12.1X47 oder höher, unterstützt die Synchronisierung der Zeit des sekundären Knotens mit dem primären Knoten über die Steuerungsverbindung, indem der NTP-Server auf dem primären Knoten konfiguriert wird.
Topologie
Abbildung 1 zeigt die Zeitsynchronisation vom Peerknoten über die Steuerungsverbindung.
Im primären Knoten ist der NTP-Server erreichbar. Der NTP-Prozess auf dem primären Knoten kann die Uhrzeit vom NTP-Server synchronisieren, und der sekundäre Knoten kann die Uhrzeit mit dem primären Knoten über die Steuerungsverbindung synchronisieren.
Konfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren und die Uhrzeit vom NTP-Server zu synchronisieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene [edit] ein, und wechseln commit Sie dann in den Konfigurationsmodus.
set system ntp server 1.1.1.121
Synchronisieren der Uhrzeit vom NTP-Server
Schritt-für-Schritt-Anleitung
In diesem Beispiel konfigurieren Sie den primären Knoten so, dass er seine Uhrzeit von einem NTP-Server mit der IP-Adresse 1.1.1.121 abruft. So synchronisieren Sie die Uhrzeit vom NTP-Server:
Konfigurieren Sie den NTP-Server.
{primary:node0}[edit] [edit system] user@host# set ntp server 1.1.1.121Bestätigen Sie die Konfiguration.
user@host#commit
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show system ntp Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
{primary:node0}[edit]
user@host# show system ntp
server 1.1.1.121
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Überprüfung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfen der NTP-Konfiguration auf dem primären Knoten
- Überprüfen der NTP-Konfiguration auf dem sekundären Knoten
Überprüfen der NTP-Konfiguration auf dem primären Knoten
Zweck
Überprüfen Sie, ob die Konfiguration ordnungsgemäß funktioniert.
Aktion
Geben Sie im Betriebsmodus den show ntp associations folgenden Befehl ein:
user@host> show ntp associations remote refid st t when poll reach delay offset jitter ============================================================================== *1-1-1-121-dynami 10.208.0.50 4 - 63 64 65 4.909 -12.067 2.014
Geben Sie im Betriebsmodus den show ntp status folgenden Befehl ein:
user@host> show ntp status status=0664 leap_none, sync_ntp, 6 events, event_peer/strat_chg, version="ntpd 4.2.0-a Fri Mar 21 00:50:30 PDT 2014 (1)", processor="i386", system="JUNOS12.1I20140320_srx_12q1_x47.1-637245", leap=00, stratum=5, precision=-20, rootdelay=209.819, rootdispersion=513.087, peer=14596, refid=1.1.1.121, reftime=d6dbb2f9.b3f41ff7 Tue, Mar 25 2014 15:47:05.702, poll=6, clock=d6dbb47a.72918b20 Tue, Mar 25 2014 15:53:30.447, state=4, offset=-6.066, frequency=-55.135, jitter=4.343, stability=0.042
Bedeutung
Die Ausgabe auf dem primären und sekundären Knoten zeigt die NTP-Zuordnung wie folgt:
remote– Adresse oder Name des entfernten NTP-Peers.refid– Referenzkennung des Remote-Peers. Wenn der Verweisbezeichner nicht bekannt ist, wird in diesem Feld der Wert 0.0.0.0 angezeigt.st– Schicht des entfernten Peers.t– Typ des Peers: b (Broadcast), l (lokal), m (Multicast) oder u (Unicast).when- Wann das letzte Paket vom Peer empfangen wurde.poll– Abfrageintervall in Sekunden.reach—Erreichbarkeitsregister, in Oktal.delay– Aktuelle geschätzte Verzögerung des Peers in Millisekunden.offset– Aktueller geschätzter Offset des Peers in Millisekunden.jitter– Stärke des Jitters in Millisekunden.
Die Ausgabe auf dem primären und sekundären Knoten zeigt den NTP-Status wie folgt an:
status– Systemstatuswort, ein Code, der die aufgelisteten Statuselemente darstellt.x events: Anzahl der Ereignisse, die seit der letzten Codeänderung aufgetreten sind. Ein Ereignis ist häufig der Empfang einer NTP-Abrufnachricht.version– Eine detaillierte Beschreibung der verwendeten NTP-Version.processor—Aktuelle Hardwareplattform und Version des Prozessors.system– Detaillierte Beschreibung des Namens und der Version des verwendeten Betriebssystems.leap—Anzahl der verwendeten Schaltsekunden.stratum– Schicht des Peer-Servers. Alles, was größer als 1 ist, ist eine sekundäre Referenzquelle, und die Zahl stellt ungefähr die Anzahl der Hops dar, die vom Stratum 1-Server entfernt sind. Stratum 1 ist eine primäre Referenz, z. B. eine Atomuhr.precision—Präzision der Peer-Uhr, wie genau die Frequenz und die Zeit mit diesem speziellen Zeitmesssystem eingehalten werden können.rootdelay—Gesamtverzögerung des Roundtrips zur primären Referenzquelle in Sekunden.rootdispersion– Maximaler Fehler relativ zur primären Referenzquelle in Sekunden.peer– Identifikationsnummer des verwendeten Peers.refid– Referenzkennung des Remote-Peers. Wenn der Verweisbezeichner nicht bekannt ist, wird in diesem Feld der Wert 0.0.0.0 angezeigt.reftime– Ortszeit im Zeitstempelformat, wann die lokale Uhr zuletzt aktualisiert wurde. Wenn die lokale Uhr noch nie synchronisiert wurde, ist der Wert Null.poll– Abfrageintervall für NTP-Broadcast-Nachrichten in Sekunden.clock– Aktuelle Uhrzeit auf der Uhr des lokalen Routers.state—Aktueller Modus des NTP-Betriebs, bei dem 1 symmetrisch aktiv, 2 symmetrisch passiv, 3 Client, 4 Server und 5 Broadcast ist.offset– Aktueller geschätzter Offset des Peers in Millisekunden. Gibt den Zeitunterschied zwischen der Referenzuhr und der lokalen Uhr an.frequency– Frequenz der Uhr.jitter– Stärke des Jitters in Millisekunden.stability—Messung, wie gut diese Uhr eine konstante Frequenz aufrechterhalten kann.
Überprüfen der NTP-Konfiguration auf dem sekundären Knoten
Zweck
Überprüfen Sie, ob die Konfiguration ordnungsgemäß funktioniert.
Aktion
Geben Sie im Betriebsmodus den show ntp associations folgenden Befehl ein:
user@host> show ntp associations remote refid st t when poll reach delay offset jitter ============================================================================== 1-1-1-121-dynami .INIT. 16 - - 1024 0 0.000 0.000 4000.00 *129.96.0.1 1.1.1.121 5 u 32 64 377 0.417 0.760 1.204
Geben Sie im Betriebsmodus den show ntp status folgenden Befehl ein:
user@host> show ntp status status=0664 leap_none, sync_ntp, 6 events, event_peer/strat_chg, version="ntpd 4.2.0-a Thu Mar 13 01:53:03 PDT 2014 (1)", processor="i386", system="JUNOS12.1I20140312_srx_12q1_x47.2-635305", leap=00, stratum=12, precision=-20, rootdelay=2.408, rootdispersion=892.758, peer=51948, refid=1.1.1.121, reftime=d6d646bb.853d2f42 Fri, Mar 21 2014 13:03:55.520, poll=6, clock=d6d647bc.e8f28b2f Fri, Mar 21 2014 13:08:12.909, state=4, offset=-1.126, frequency=-62.564, jitter=0.617, stability=0.002