NTP-Zeitsynchronisierung auf Chassis-Cluster
Das Network Time Protocol (NTP) wird verwendet, um die Zeit zwischen der Packet Forwarding Engine und der Routing-Engine in einem eigenständigen Gerät und zwischen zwei Geräten in einem Gehäusecluster zu synchronisieren. Weitere Informationen finden Sie in den folgenden Themen:
NTP-Zeitsynchronisation auf Geräten der SRX-Serie
Sowohl im Standalone- als auch im Chassis-Cluster-Modus führt die primäre Routing-Engine den NTP-Prozess aus, um die Uhrzeit vom externen NTP-Server abzurufen. Obwohl die sekundäre Routing-Engine den NTP-Prozess ausführt, um die Uhrzeit vom externen NTP-Server abzurufen, schlägt dieser Versuch aufgrund von Netzwerkproblemen fehl. Aus diesem Grund verwendet die sekundäre Routing-Engine NTP, um die Uhrzeit von der primären Routing-Engine abzurufen.
Verwenden Sie NTP für Folgendes:
-
Senden Sie die Zeit von der primären Routing-Engine an die sekundäre Routing-Engine über die Steuerverbindung des Gehäuse-Clusters.
-
Rufen Sie die Zeit von einem externen NTP-Server zur primären oder eigenständigen Routing-Engine ab.
-
Rufen Sie die Zeit vom NTP-Prozess der Routing-Engine zur Packet Forwarding Engine ab.
Ab Junos OS Version 15.1X49-D70 und Junos OS Version 17.3R1 wird die Konfiguration des NTP-Zeitanpassungsschwellenwerts auf SRX300-, SRX320-, SRX340-, SRX345-, SRX1500-, SRX4100-, SRX4200-, SRX5400-, SRX5600- und SRX5800-Geräten und Virtuelle Firewall vSRX-Instances unterstützt. Mit dieser Funktion können Sie den NTP-Anpassungsschwellenwert für den NTP-Dienst konfigurieren und erzwingen und die Sicherheit und Flexibilität des NTP-Dienstprotokolls verbessern.
Ab Junos OS Version 23.4R1 und Junos OS Version 24.2R1 wird die Konfiguration des NTP-Zeitanpassungsschwellenwerts auf SRX1600-, SRX2300- und SRX4300 Geräten unterstützt.
Siehe auch
Beispiel: Simplifizieren der Netzwerkverwaltung durch Synchronisieren des Primär- und Backup-Knotens mit NTP
In diesem Beispiel wird gezeigt, wie Sie die Verwaltung vereinfachen können, indem Sie die Zeit zwischen zwei Firewalls der SRX-Serie, die in einem Chassis-Cluster betrieben werden, synchronisieren. Mithilfe eines NTP-Servers (Network Time Protocol) kann der primäre Knoten die Zeit mit dem sekundären Knoten synchronisieren. NTP wird verwendet, um die Zeit zwischen der Packet Forwarding Engine und der Routing-Engine in einem eigenständigen Gerät und zwischen zwei Geräten in einem Gehäusecluster zu synchronisieren. Sie müssen die Systemtakte auf beiden Knoten der Firewalls der SRX-Serie in einem Gehäuse-Cluster synchronisieren, um die folgenden Elemente zu verwalten:
Echtzeitobjekte (RTO)
Lizenzen
Softwareaktualisierungen
Knoten-Failover
Analysieren von Systemprotokollen (Syslogs)
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Firewalls der SRX-Serie, die in einem Gehäuse-Cluster betrieben werden
Junos OS Version 12.1X47-D10 oder höher
Bevor Sie beginnen:
Machen Sie sich mit den Grundlagen des Network Time Protocol vertraut. Siehe NTP-Übersicht.
Überblick
Wenn Firewalls der SRX-Serie im Chassis-Cluster-Modus betrieben werden, kann der sekundäre Knoten nicht über den Umsatzport auf den externen NTP-Server zugreifen. Junos OS Version 12.1X47 oder höher unterstützt die Synchronisierung der Zeit des sekundären Knotens mit dem primären Knoten über die Steuerverbindung, indem der NTP-Server auf dem primären Knoten konfiguriert wird.
Topologie
Abbildung 1 zeigt die Zeitsynchronisierung vom Peer-Knoten unter Verwendung der Steuerverbindung.
Im primären Knoten ist der NTP-Server erreichbar. Der NTP-Prozess auf dem primären Knoten kann die Uhrzeit vom NTP-Server synchronisieren, und der sekundäre Knoten kann die Uhrzeit über die Steuerverbindung mit dem primären Knoten synchronisieren.
Konfiguration
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren und die Uhrzeit vom NTP-Server zu synchronisieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie auf der Hierarchieebene in die CLI ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set system ntp server 1.1.1.121
Synchronisieren der Uhrzeit vom NTP-Server
Schritt-für-Schritt-Anleitung
In diesem Beispiel konfigurieren Sie den primären Knoten so, dass er seine Uhrzeit von einem NTP-Server an der IP-Adresse 1.1.1.121 abruft. So synchronisieren Sie die Uhrzeit vom NTP-Server:
Konfigurieren Sie den NTP-Server.
{primary:node0}[edit] [edit system] user@host# set ntp server 1.1.1.121Bestätigen Sie die Konfiguration.
user@host#commit
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show system ntp Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
{primary:node0}[edit]
user@host# show system ntp
server 1.1.1.121
Wenn Sie mit der Konfiguration des Geräts fertig sind, wechseln commit Sie aus dem Konfigurationsmodus.
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfen der NTP-Konfiguration auf dem primären Knoten
- Überprüfen der NTP-Konfiguration auf dem sekundären Knoten
Überprüfen der NTP-Konfiguration auf dem primären Knoten
Zweck
Überprüfen Sie, ob die Konfiguration ordnungsgemäß funktioniert.
Aktion
Geben Sie im Betriebsmodus den show ntp associations folgenden Befehl ein:
user@host> show ntp associations remote refid st t when poll reach delay offset jitter ============================================================================== *1-1-1-121-dynami 10.208.0.50 4 - 63 64 65 4.909 -12.067 2.014
Geben Sie im Betriebsmodus den show ntp status folgenden Befehl ein:
user@host> show ntp status status=0664 leap_none, sync_ntp, 6 events, event_peer/strat_chg, version="ntpd 4.2.0-a Fri Mar 21 00:50:30 PDT 2014 (1)", processor="i386", system="JUNOS12.1I20140320_srx_12q1_x47.1-637245", leap=00, stratum=5, precision=-20, rootdelay=209.819, rootdispersion=513.087, peer=14596, refid=1.1.1.121, reftime=d6dbb2f9.b3f41ff7 Tue, Mar 25 2014 15:47:05.702, poll=6, clock=d6dbb47a.72918b20 Tue, Mar 25 2014 15:53:30.447, state=4, offset=-6.066, frequency=-55.135, jitter=4.343, stability=0.042
Bedeutung
Die Ausgabe auf dem primären und sekundären Knoten zeigt die NTP-Zuordnung wie folgt:
remote– Adresse oder Name des Remote-NTP-Peers.refid– Referenz-ID des entfernten Peers. Wenn der Referenzbezeichner nicht bekannt ist, wird in diesem Feld der Wert 0.0.0.0 angezeigt.st– Schicht des entfernten Peers.t—Peer-Typ: b (Broadcast), l (lokal), m (Multicast) oder u (Unicast).when– Wann das letzte Paket vom Peer empfangen wurde.poll—Abrufintervall in Sekunden.reach—Erreichbarkeitsregister, in Oktal.delay—Aktuell geschätzte Verzögerung des Peers in Millisekunden.offset: Aktueller geschätzter Offset des Peers in Millisekunden.jitter—Größe des Jitters in Millisekunden.
Die Ausgabe auf dem primären und sekundären Knoten zeigt den NTP-Status wie folgt an:
status– Systemstatuswort, ein Code, der die aufgelisteten Statuselemente darstellt.x events: Anzahl der Ereignisse, die seit der letzten Codeänderung aufgetreten sind. Ein Ereignis ist häufig der Empfang einer NTP-Abrufnachricht.version– Eine detaillierte Beschreibung der verwendeten Version von NTP.processorAktuelle Hardwareplattform und Version des Prozessors.system– Ausführliche Beschreibung des Namens und der Version des verwendeten Betriebssystems.leapAnzahl der verwendeten Schaltsekunden.stratum: Schicht des Peer-Servers. Alles, was größer als 1 ist, ist eine sekundäre Referenzquelle, und die Zahl stellt in etwa die Anzahl der Hops dar, die vom Stratum 1-Server entfernt sind. Schicht 1 ist eine primäre Referenz, z. B. eine Atomuhr.precision—Präzision der Peer-Uhr, wie genau die Frequenz und die Zeit mit diesem speziellen Zeitmesssystem eingehalten werden können.rootdelay: Gesamtverzögerung bis zur primären Referenzquelle in Sekunden.rootdispersion: Maximaler Fehler relativ zur primären Referenzquelle in Sekunden.peer—Identifikationsnummer des verwendeten Peers.refid– Referenz-ID des entfernten Peers. Wenn der Referenzbezeichner nicht bekannt ist, wird in diesem Feld der Wert 0.0.0.0 angezeigt.reftime: Ortszeit im Zeitstempelformat, wann die lokale Uhr zuletzt aktualisiert wurde. Wenn die lokale Uhr noch nie synchronisiert wurde, ist der Wert Null.poll– Intervall für die Abfrage von NTP-Broadcast-Nachrichten in Sekunden.clock– Aktuelle Uhrzeit auf der Uhr des lokalen Routers.state– Aktueller Modus des NTP-Betriebs, wobei 1 symmetrisch aktiv, 2 symmetrisch passiv, 3 Client, 4 Server und 5 Broadcast ist.offset: Aktueller geschätzter Offset des Peers in Millisekunden. Gibt den Zeitunterschied zwischen der Referenzuhr und der lokalen Uhr an.frequency—Frequenz der Uhr.jitter—Größe des Jitters in Millisekunden.stability—Messung, wie gut diese Uhr eine konstante Frequenz aufrechterhalten kann.
Überprüfen der NTP-Konfiguration auf dem sekundären Knoten
Zweck
Überprüfen Sie, ob die Konfiguration ordnungsgemäß funktioniert.
Aktion
Geben Sie im Betriebsmodus den show ntp associations folgenden Befehl ein:
user@host> show ntp associations remote refid st t when poll reach delay offset jitter ============================================================================== 1-1-1-121-dynami .INIT. 16 - - 1024 0 0.000 0.000 4000.00 *129.96.0.1 1.1.1.121 5 u 32 64 377 0.417 0.760 1.204
Geben Sie im Betriebsmodus den show ntp status folgenden Befehl ein:
user@host> show ntp status status=0664 leap_none, sync_ntp, 6 events, event_peer/strat_chg, version="ntpd 4.2.0-a Thu Mar 13 01:53:03 PDT 2014 (1)", processor="i386", system="JUNOS12.1I20140312_srx_12q1_x47.2-635305", leap=00, stratum=12, precision=-20, rootdelay=2.408, rootdispersion=892.758, peer=51948, refid=1.1.1.121, reftime=d6d646bb.853d2f42 Fri, Mar 21 2014 13:03:55.520, poll=6, clock=d6d647bc.e8f28b2f Fri, Mar 21 2014 13:08:12.909, state=4, offset=-1.126, frequency=-62.564, jitter=0.617, stability=0.002
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.