Netzwerkzeitprotokoll
ZUSAMMENFASSUNG Network Time Protocol (NTP) ist ein Protokoll, das zur Synchronisation der Zeit auf allen Geräten in einem Netzwerk verwendet wird.
NTP – Übersicht
Network Time Protocol (NTP) ist ein weit verbreitetes Protokoll zur Synchronisation der Uhren von Routern und anderen Hardwaregeräten im Internet. Die primären NTP-Server werden mit einer Referenzuhr synchronisiert, die direkt zu Coordinated Universal Time (UTC) zurückverfolgt werden kann. Die Referenzuhren umfassen GPS-Empfänger und Telefonmodemdienste. Die NTP-Genauigkeitserwartungen hängen von den Anwendungsanforderungen der Umgebung ab. Im Allgemeinen kann NTP jedoch innerhalb von zehn Von Millisekunden über das öffentliche Internet verwendet werden.
NTP ist in RFC 5905 definiert: Network Time Protocol Version 4: Spezifikation für Protokolle und Algorithmen
Geräte, auf Junos OS ausgeführt werden, können so konfiguriert werden, dass sie als NTP-Client, sekundärer NTP-Server oder primärer NTP-Server fungieren. Folgende Variationen gibt es:
-
Primärer NTP-Server: Die primären NTP-Server werden mit einer Referenzuhr synchronisiert, die direkt zu UTC zurückverfolgt werden kann. Diese Server verteilen diese Zeitdaten dann wieder nachgelagert zu anderen sekundären NTP-Servern oder NTP-Clients.
-
Sekundärer NTP-Server: Sekundäre NTP-Server werden mit einem primären oder sekundären NTP-Server synchronisiert. Diese Server verteilen diese Daten dann wieder nachgelagert zu anderen sekundären NTP-Servern oder NTP-Clients.
-
NTP Client: NTP-Clients werden mit einem primären oder sekundären NTP-Server synchronisiert. Clients verteilen diese Zeitdaten nicht erneut an andere Geräte.
Das NTP-Subnetz enthält eine Reihe von allgemein zugänglichen Haupt-Time-Servern, die als primärer NTP-Server des Netzwerks verwendet werden können. Juniper Networks empfiehlt dringend, alle primären Server, die Sie verwenden, zu authentifizieren.
Jedes Gerät in Ihrem Netzwerk kann so konfiguriert werden, dass es in einem oder mehrere der folgenden NTP-Modi ausgeführt wird:
-
Broadcast-Modus: Mindestens ein Gerät wird eingerichtet, um Zeitinformationen an eine bestimmte Broadcast- oder Multicast-Adresse zu übertragen. Andere Geräte hören Zeitsynchronisierungspakete auf diesen Adressen ab. Dieser Modus ist weniger präzise als der Client-/Server-Modus.
-
Client/Server-Modus: Geräte sind in Client-/Server-Beziehungen hierarchische im Netzwerk organisiert.
-
Symmetrischer aktiver (Peer)-Modus: Zwei oder mehr Geräte werden zur Bereitstellung von Redundanz als NTP-Server-Peers konfiguriert.
Wenn die NTP-Clientzeit standardmäßig verwewet, sodass der Zeitunterschied vom NTP-Server 128 Millisekunden überschreitet, schritt der NTP-Client automatisch zurück zur Synchronisierung. Der NTP-Client wird immer noch mit dem Server synchronisiert, auch wenn der Versatz zwischen NTP-Client und Server den Grenzwert von 1000 Sekunden überschreitet. Sie können manuell anfordern, dass ein Gerät mit einem NTP-Server set date ntp synchronisiert wird, indem Sie den Betriebsbefehl auf dem Router verwenden. Auf Geräten, auf denen Junos OS Routingmodule ausgeführt werden, synchronisiert der Routing-Engine direkt mit dem primären Routing-Engine.
Alle Juniper-Plattformen, die auf Junos OS, unterstützen den zweiten Schritt. Wenn dem NTP-Server die Große Rechnungen bekannt sind, fügt das Junos-Gerät automatisch eine Sekunde Verzögerung hinzu. Mit PTP (Precision Time Protocol) werden Synchronisationsänderungen in allen Knoten in einem Netzwerk erkannt und verbreitet. NTP ist auch für die Einhaltung von Common Criteria erforderlich. Weitere Informationen zur Common Criteria-Zertifizierung finden Sie unter Zertifizierungen des öffentlichen Sektors.
Weitere Informationen zum Network Time Protocol finden Sie auf der Website der Network Time Foundation unter http://www.ntp.org.
NTP unterstützt IPv4-VPN- und IPv6-Routing und -Weiterleitungsanforderungen (VRF) am Junos OS. VRF-Anforderungen werden auch auf den Weiterversionen von Junos OS Evolved Release 20.2R1 unterstützt. Auf diese Weise kann ein NTP-Server auf einem Provider Edge-Router (PE)-Router auf NTP-Anforderungen eines Edge-Routers (CE) antworten. So kann ein PE-Router jedes NTP-Anforderungspaket verarbeiten, das von verschiedenen Routinginstanzen kommt.
Unterstützung von Network Time Security (NTS) für NTP
NTS – Übersicht
NTS bietet kryptographische Sicherheit für die Netzwerkzeitsynchronisation und unterstützt den Client-Server-Modus von NTP. NTS verwendet das Transportschicht Security (TLS)-Protokoll und authenticated Encryption with Associated Data (AEAD), um die Netzwerkzeit für die Benutzer authentifiziert zu erhalten. NTS unterstützt auch die Verschlüsselung von NTP-Erweiterungsfeldern.
Die wichtigsten Sicherheitsprozesse sind von der exakten Zeit abhängig. Die Synchronisierung der Netzwerkzeit von einer schädlichen Quelle kann schwerwiegende Folgen haben. Aktivierung von NTS gewährleistet die genaue Synchronisierung der Netzwerkzeit auf Ihrem Gerät.
Vorteile von NTS
- Bietet starken Kryptographieschutz vor einer Vielzahl von Sicherheitsangriffen wie Paketbearbeitung, Spoofing, DDOS-Amplifizierungsangriffen und Replay-Angriffen
- Gewährleistet die genaue Synchronisierung der Netzwerkzeit von einer zuverlässigen Quelle
- Bietet Skalierbarkeit: Server können mehrere Clients bedienen, ohne clientspezifische Konfigurationen manuell vorkonfigurieren zu müssen. Aufgrund der Verwendung von Cookies muss der Server die clientspezifischen Daten wie Schlüssel und AEAD-Algorithmus nicht lokal speichern
- Verhindert die Verfolgung mobiler Geräte
Netzwerkzeitsynchronisation mit NTS
NTS besteht aus zwei Protokollen, dem NTS Key Establishment Protocol (NTS-KE) und der NTP-Zeitsynchronisation mit NTS Extension Fields. Abbildung 1 zeigt die Interaktionen in NTS.
NTS-KE-Protokoll
In der NTS-KE-Protokollphase verwaltet das NTS-KE-Protokoll die anfängliche Authentifizierung, NTS-Parameter-Aushandlung und Schlüsseleinrichtung über TLS in folgender Reihenfolge:
- Der Client führt einen TLS-Handshake mit dem NTS-KE-Server durch und überprüft die Zertifikate erfolgreich.
-
Der Client führt die NTS-Parameteraushandlung mit dem Server über den TLS-geschützten Kanal durch. Die ausgehandelten Verschlüsselungsalgorithmen sind AEAD-Methoden und schützen die NTP-Pakete in der zweiten Phase.
-
Client und Server stellen erfolgreich das Kommunikationsmaterial vor.
-
Der Server sendet auch eine Bereitstellung von Anfangscookies an den Client, die er in der nächsten Phase verwenden soll.
-
Der TLS-Kanal schließt und NTP findet in der nächsten Phase des realen Austauschs von Zeitdaten statt.
NTS unterstützt nur TLS-Version 1.3. Die älteren TLS-Versionen werden während der NTS-KE-Protokollphase abgelehnt.
NTP-Zeitsynchronisation mit NTS Extension Fields
In dieser Phase werden die Verschlüsselung und Authentifizierung während der NTP-Zeitsynchronisation durch die Erweiterungsfelder in den NTP-Paketen in der folgenden Reihenfolge verwaltet:
-
Der Client fragt den NTP-Server nach Zeit mit NTS-Erweiterungsfeldern ab. Diese Erweiterungsfelder umfassen Cookies und ein Authentifizierungs-Tag, das auf dem ausgehandelten AEAD-Algorithmus und dem schlüsselbasierten Material aus dem NTS-KE-Handshake berechnet wird.
Eine NTS-gesicherte NTP-Clientanfrage enthält die folgenden NTS-Erweiterungsfelder:
-
Unique Identifier Extension Field: Enthält zufällig generierte Daten und bietet Mittel für den Wiedergabeschutz auf NTS-Ebene.
-
NTS Cookie Extension Field: Enthält Informationen über das Schlüsselmaterial, das während der NTS-KE-Phase ermittelt, und den ausgehandelten Kryptographiealgorithmus. Ein Cookie wird nur einmal in einer Anfrage verwendet, um eine Verfolgung zu verhindern.
-
NTS Cookie Placeholder Extension Field: (Optional) kommuniziert mit dem Server, dass der Client zusätzliche Cookies im Antwortpaket erhalten möchte.
-
NTS Authenticator und Encrypted Extension Fields: Generiert mithilfe des AEAD-Algorithmus und des im NTS-KE festgelegten Schlüssels. Dieses Feld bietet den Integritätsschutz für den NTP-Header und alle vorherigen Erweiterungsfelder.
Die ständige Aktualisierung von Cookies schützt ein Gerät vor der Verfolgung, wenn es die Netzwerkadressen ändert. Zum Beispiel ein mobiles Gerät, das in verschiedenen Netzwerken bewegt wird. Das Fehlen erkennbarer Daten verhindert, dass ein Gegner feststellen kann, dass zwei Pakete, die über verschiedene Netzwerkadressen gesendet werden, vom selben Client stammten.
-
-
Wenn der Server eine NTS-gesicherte Anfrage vom Client empfängt, entschlüsselt der Server den Cookie mit einem Hauptschlüssel.
-
Der Server extrahiert den ausgehandelten AEAD-Algorithmus und die im Cookie verfügbaren Schlüssel. Mithilfe dieses Schlüssels überprüft der Server die Integrität des NTP-Pakets, um sicherzustellen, dass keine Manipulationen am Paket durchgeführt werden.
-
Der Server generiert mindestens ein neues Cookies und erstellt das NTP-Antwortpaket. Der Server generiert mindestens einen neuen Cookie und einen zusätzlichen Cookie für jedes Cookie Placeholder Extension Field, das der Client im Anforderungspaket hinzugefügt hat.
Das Antwortpaket enthält zwei NTS-Erweiterungsfelder:
- Das Unique Identifier Extension Field, das den gleichen Inhalt aus dem Feld Unique Identifier im Anforderungspaket enthält.
- Der NTS Authenticator und encrypted Extension Field, das den NTP-Header und die Vorherigen Erweiterungsfelder mithilfe der extrahierten Schlüssel sichert.
-
Der Server verschlüsselt die Cookies auch und enthält sie in den NTS-Authenfigurator und die Felder für verschlüsselte Erweiterungen. Dieses Verfahren schützt den Client außerdem vor der Verfolgung, da ein Angreifer die Cookies aus einer Antwortnachricht nicht extrahieren kann.
-
Der Server finalisiert das Antwortpaket und sendet das Paket an den Client.
-
Der Client empfängt das Antwortpaket.
-
Der Client überprüft das Unique Identifier-Feld und überprüft, ob der Unique Identifier mit einer ausstehenden Anforderung entspricht.
-
Der Client führt erfolgreich die Integritätsprüfung des Pakets anhand des Schlüssels und des AEAD-Algorithmus durch.
-
Der Client entschlüsselt die Cookies und fügt sie ihrem Pool hinzu und verarbeitet die vom Server empfangenen Zeitinformationen.
NTP-Zeitserver
Der IETF definierte das Network Time Protocol (NTP), um die Taktung der über ein Netzwerk verbundenen Computersysteme zu synchronisieren. Die meisten großen Netzwerke verfügen über einen NTP-Server, der sicherstellt, dass die Zeit auf allen Geräten unabhängig vom Standort des Geräts synchronisiert wird. Wenn Sie einen oder mehrere NTP-Server in Ihrem Netzwerk verwenden, stellen Sie sicher, dass Sie die NTS-Serveradressen in Ihre Junos OS-Konfiguration aufnehmen.
Bei der NTP-Konfiguration können Sie festlegen, welches System im Netzwerk die maßgebliche Zeitquelle oder der Zeitserver ist und wie die Zeit zwischen den Systemen im Netzwerk synchronisiert wird. Dazu konfigurieren Sie Router, Switch oder Sicherheitsgerät für den Betrieb in einem der folgenden Modi:
-
Client-Modus: In diesem Modus kann die Synchronisierung des lokalen Routers oder Switches mit dem Remotesystem ermöglicht werden. Eine Synchronisation des Remotesystems mit dem lokalen Router oder Switch ist jedoch nie möglich.
-
Symmetrischer aktiver Modus: In diesem Modus können der lokale Router oder Switch und das Remotesystem miteinander synchronisiert werden. Sie verwenden diesen Modus in einem Netzwerk, in dem entweder der lokale Router oder der Switch oder das entfernte System die bessere Zeitquelle sind.
Der symmetrische aktive Modus kann entweder vom lokalen oder vom remoten System initiiert werden. Dafür muss nur ein System konfiguriert werden. Das bedeutet, dass das lokale System mit jedem System mit dem symmetrischen aktiv-Modus ohne jegliche Konfiguration synchronisiert werden kann. Wir fordern Sie jedoch dazu auf, die Authentifizierung zu konfigurieren, um sicherzustellen, dass das lokale System nur mit bekannten Zeitservern synchronisiert wird.
-
Broadcast-Modus: In diesem Modus sendet der lokale Router oder Switch regelmäßig Broadcast-Nachrichten an eine Client-Population an die angegebene Broadcast- oder Multicastadresse. Normalerweise fügen Sie diese Aussage nur dann ein, wenn der lokale Router oder Switch als Sender funktioniert.
-
Servermodus: In diesem Modus wird der lokale Router bzw. Switch als NTP-Server ausgeführt.
Im NTP-Servermodus unterstützt Junos OS Authentifizierung wie folgt:
-
Wenn die NTP-Anfrage vom Client einen Authentifizierungsschlüssel enthält (z. B. eine Schlüssel-ID und ein mit dem Paket gesendetes Nachrichtenpaket), wird die Anfrage anhand der Authentifizierungsschlüsselmatches verarbeitet und beantwortet.
-
Wenn die NTP-Anfrage vom Client ohne Authentifizierungsschlüssel kommt, wird die Anfrage ohne Authentifizierung verarbeitet und beantwortet.
-
NTP-Zeitserver und Zeitdienste konfigurieren
Wenn Sie NTP verwenden, konfigurieren Sie den Router oder Switch für den Betrieb in einem der folgenden Modi:
-
Client-Modus
-
Symmetrischer aktiver Modus
-
Broadcast-Modus
-
Servermodus
In den folgenden Themen wird die Konfiguration dieser Betriebsmodi beschrieben:
- Konfigurieren des Routers oder Switches für den Betrieb im Client-Modus
- Konfigurieren des Routers oder Switches für den Betrieb im symmetrischen aktiven Modus
- Konfigurieren des Routers oder Switches für den Betrieb im Broadcast-Modus
- Konfigurieren Sie den Router oder Switch für den Betrieb im Servermodus
Konfigurieren des Routers oder Switches für den Betrieb im Client-Modus
Um den lokalen Router oder Switch für den Betrieb im Clientmodus zu konfigurieren, server fügen Sie die Anweisung und andere optionale Anweisungen auf der Hierarchieebene [edit system ntp] hinzu:
[edit system ntp] server address <key key-number> <version value> <prefer>; authentication-key key-number type type value password; boot-server address; trusted-key[key-numbers];
Geben Sie die Adresse des Systems an, das als Zeitserver agiert. Sie müssen eine Adresse und keinen Hostnamen angeben.
Um in alle an den Zeitserver gesendeten Nachrichten einen Authentifizierungsschlüssel ein schließen zu können, geben Sie die Schlüsseloption an. Der Schlüssel entspricht der in der Anweisung angegebenen authentication-key Schlüsselnummer, wie in beschrieben.
Standardmäßig sendet der Router oder Switch Pakete der NTP-Version 4 an den Zeitserver. Um die NTP-Versionsebene auf 1, 2 oder 3 zu setzen, geben Sie die Versionsoption ein.
Wenn Sie mehr als einen Einziger Server konfigurieren, können Sie einen bevorzugten Server kennzeichnen, indem Sie auch die bevorzugte Option auswählen.
Im folgenden Beispiel wird gezeigt, wie der Router oder Switch im Client-Modus konfiguriert wird:
[edit system ntp] authentication-key 1 type md5 value "$ABC123"; boot-server 10.1.1.1; server 10.1.1.1 key 1 prefer; trusted-key 1;
Konfigurieren des Routers oder Switches für den Betrieb im symmetrischen aktiven Modus
Um den lokalen Router oder Switch im symmetrischen aktiven Modus zu konfigurieren, fügen Sie die peer Anweisung auf der Hierarchieebene [edit system ntp] hinzu:
[edit system ntp] peer address <key key-number> <version value> <prefer>;
Geben Sie die Adresse des Remote-Systems an. Sie müssen eine Adresse und keinen Hostnamen angeben.
Um in alle an das Remotesystem gesendeten Nachrichten einen Authentifizierungsschlüssel ein schließen zu können, geben Sie die Schlüsseloption an. Der Schlüssel entspricht der Schlüsselnummer, die Sie in der Aussage angegeben authentication-key haben.
Standardmäßig sendet der Router oder Switch Pakete der NTP-Version 4 an das Remote-System. Um die NTP-Versionsstufe auf 1, 2 oder 3 zu setzen, geben Sie die Versionsoption ein.
Wenn Sie mehrere Remote-Systeme konfigurieren, können Sie ein Bevorzugtes System markieren, indem Sie die bevorzugte Option auswählen:
peer address <key key-number> <version value> prefer;
Konfigurieren des Routers oder Switches für den Betrieb im Broadcast-Modus
Um den lokalen Router oder Switch für den Betrieb im Broadcast-Modus zu konfigurieren, fügen Sie die broadcast Anweisung auf der Hierarchieebene [edit system ntp] hinzu:
[edit system ntp] broadcast address <key key-number> <version value> <ttl value>;
Geben Sie die Broadcast-Adresse in einem der lokalen Netzwerke oder eine NTP-zugewiesene Multicast-Adresse an. Sie müssen eine Adresse und keinen Hostnamen angeben. Wenn die Multicast-Adresse verwendet wird, muss sie 224.0.1.1 sein.
Um in alle an das Remotesystem gesendeten Nachrichten einen Authentifizierungsschlüssel ein schließen zu können, geben Sie die Schlüsseloption an. Der Schlüssel entspricht der Schlüsselnummer, die Sie in der Aussage angegeben authentication-key haben.
Standardmäßig sendet der Router oder Switch Pakete der NTP-Version 4 an das Remote-System. Um die NTP-Versionsebene auf 1, 2 oder 3 zu setzen, geben Sie die Versionsoption ein.
Konfigurieren Sie den Router oder Switch für den Betrieb im Servermodus
Im Servermodus fungiert der Router bzw. Switch als NTP-Server für Clients, wenn die Clients angemessen konfiguriert wurden. Die einzige Voraussetzung für den "Servermodus" ist, dass der Router oder Switch Zeit von einem anderen NTP-Peer oder -Server erhalten muss. Auf dem Router oder Switch ist keine andere Konfiguration erforderlich.
Bei der Konfiguration des NTP-Dienstes in der Verwaltungs-VRF (mgmt_junosVrF) müssen Sie innerhalb der Standard-Routinginstanz mindestens eine IP-Adresse auf einer physischen oder logischen Schnittstelle konfigurieren und sicherstellen, dass diese Schnittstelle so verfügbar ist, dass der NTP-Dienst mit der mgmt_junos VRF arbeitet.
Um den lokalen Router oder Switch so zu konfigurieren, dass er als NTP-Server verwendet wird, fügen Sie die folgenden Anweisungen auf der Hierarchieebene [edit system ntp] hinzu:
[edit system ntp] authentication-key key-number type type value password; server address <key key-number> <version value> <prefer>; trusted-key [key-numbers];
Geben Sie die Adresse des Systems an, das als Zeitserver agiert. Sie müssen eine Adresse und keinen Hostnamen angeben.
Um in alle an den Zeitserver gesendeten Nachrichten einen Authentifizierungsschlüssel ein schließen zu können, geben Sie die Schlüsseloption an. Der Schlüssel entspricht der Schlüsselnummer, die Sie in der Aussage angegeben authentication-key haben.
Standardmäßig sendet der Router oder Switch Pakete der NTP-Version 4 an den Zeitserver. Um die NTP-Versionsebene auf 1,2 oder 3 zu festlegen, geben Sie die Versionsoption ein.
Wenn Sie mehr als einen Einziger Server konfigurieren, können Sie einen bevorzugten Server kennzeichnen, indem Sie auch die bevorzugte Option auswählen.
Im folgenden Beispiel wird gezeigt, wie der Router oder Switch im Servermodus konfiguriert wird:
[edit system ntp] authentication-key 1 type md5 value "$ABC123"; server 192.168.27.46 prefer; trusted-key 1;
Siehe auch
Beispiel: NTP als Single Time Source für Router- und Switch-Taktsynchronisation konfigurieren
Debugging und Fehlerbehebung sind viel einfacher, wenn die Zeitstempel in allen Routern oder Switches synchronisiert werden, da Ereignisse, die das Netzwerk umfassen, mit synchronen Einträgen in mehreren Protokollen korreliert werden können. Wir empfehlen dringend, das Network Time Protocol (NTP) zur Synchronisation der Systemuhren von Routern, Switches und anderen Netzwerkgeräten zu verwenden.
Standardmäßig wird NTP vollständig nicht authentifiziert ausgeführt. Wenn ein schädlicher Versuch, die Genauigkeit einer Router- oder Switch-Uhr zu beeinflussen, erfolgreich ist, könnte dies negative Auswirkungen auf die Systemprotokollierung haben, die Fehlerbehebung und Eindringungserkennung erschweren und andere Verwaltungsfunktionen behindern.
Die folgende Beispielkonfiguration synchronisiert alle Router oder Switches im Netzwerk mit einer einzigen Zeitquelle. Wir empfehlen die Verwendung der Authentifizierung, um sicherzustellen, dass dem NTP-Peer vertraut wird. Die boot-server Aussage identifiziert den Server, von dem aus die anfängliche Tageszeit und das Datum beim Starten des Routers ermittelt werden. Die server Aussage identifiziert den ntp-Server, der für die regelmäßige Zeitsynchronisation verwendet wird. Die authentication-key Aussage gibt an, dass ein H SOR-Message Digest 5 (MD5)-Schema verwendet werden soll, um den Schlüsselwert für die Authentifizierung zu hashen. Dies verhindert, dass der Router oder Switch mit dem Host eines Angreifers, der als Zeitserver posiert, synchronisiert wird.
[edit]
system {
ntp {
authentication-key 2 type md5 value "$ABC123"; # SECRET-DATA
boot-server 10.1.4.1;
server 10.1.4.2 key 2;
trusted key 2;
}
}
Synchronisieren und Koordinieren der Zeitverteilung mit NTP
Die Verwendung von NTP zur Synchronisierung und Koordination der Zeitverteilung in einem großen Netzwerk umfasst diese Aufgaben:
NTP konfigurieren
-
Um NTP auf dem Switch zu konfigurieren, fügen Sie die
ntpAnweisung auf der Hierarchieebene[edit system]hinzu:[edit system] ntp { authentication-key number type type value password; boot-server (address | hostname); broadcast <address> <key key-number> <version value> <ttl value>; broadcast-client; multicast-client <address>; peer address <key key-number> <version value> <prefer>; server address <key key-number> <version value> <prefer>; ntp source-address; trusted-key [ key-numbers ]; }
NTP-Boot-Server konfigurieren
Beim Starten des Switches wird eine ntpdate-Anforderung gestellt, die einen Netzwerkserver abruft, um das lokale Datum und die Uhrzeit zu bestimmen. Sie müssen einen Server konfigurieren, den der Switch verwendet, um die Zeit zu bestimmen, wann der Switch hochfing. Andernfalls kann NTP nicht mit einem Zeitserver synchronisiert werden, wenn die Zeit des Servers weit von der Zeit des lokalen Switches liegt.
-
Um den NTP-Boot-Server zu konfigurieren, fügen Sie die
boot-serverAnweisung auf der Hierarchieebene[edit system ntp]hinzu:[edit system ntp] boot-server (address | hostname);
-
Junos OS der Version 15.1 für den NTP-Boot-Server
set ntp serverist die Anweisung auf der[edit system ntp]Hierarchieebene enthalten:[edit system ntp] set server (address | hostname);
Geben Sie entweder die IP-Adresse oder den Hostnamen des Netzwerkservers an.
Quelladresse für einen NTP-Server angeben
Bei IPv4 (IP Version 4) können Sie angeben, dass, wenn der auf Hierarchieebene konfigurierte NTP-Server [edit system ntp] auf einer der Loopback-Schnittstellenadressen kontaktiert wird, die Antwort immer eine bestimmte Quelladresse verwendet. Dies ist hilfreich, um zu steuern, welche Quelladresse NTP für den Zugriff auf Ihr Netzwerk verwendet, wenn es entweder auf eine NTP-Clientanfrage von Ihrem Netzwerk reagiert oder ntp-Anforderungen an das Netzwerk sendet.
Um die spezifische Quelladresse zu konfigurieren, die die Antwort immer verwenden wird, und die Quelladresse, die vom NTP-Server initiiert wurde, source-address [edit system ntp] wird die Anweisung auf der Hierarchieebene enthalten:
[edit system ntp] source-address source-address;
source-address ist eine gültige IP-Adresse, die auf einer der Router- oder Switch-Schnittstellen konfiguriert ist.
Bei der Konfiguration des NTP-Dienstes in der Verwaltungs-VRF (mgmt_junosVrF) müssen Sie innerhalb der Standard-Routinginstanz mindestens eine IP-Adresse auf einer physischen oder logischen Schnittstelle konfigurieren und sicherstellen, dass diese Schnittstelle so verfügbar ist, dass der NTP-Dienst mit der mgmt_junos-VRF arbeitet.
Beginnend mit Junos OS Version 13.3 und Junos OS Evolved Release 20.2R1 routing-instance können Sie die Quelladresse mithilfe der Anweisung auf der [edit system ntp source-address source-address] Hierarchieebene konfigurieren:
[edit system ntp source-address source-address] user@host# set routing-instance routing-instance-name
So ist beispielsweise die folgende Aussage konfiguriert:
[edit system ntp source-address source-address] user@host# set system ntp source-address 12.12.12.12 routing-instance ntp-source-test
Wenn sie daher die NTP-Nachricht über eine schnittstelle in der NTP-Source-Testroutinginstanz senden, wird die Quelladresse 12.12.12.12 verwendet.
Die routing-instance Anweisung ist optional. Wenn nicht konfiguriert, wird die primäre Adresse der Schnittstelle verwendet.
Wenn auf der Loopback-Schnittstelle ein Firewall-Filter angewendet wird, stellen Sie sicher, source-address dass der für den NTP-Server [edit system ntp] auf der Hierarchieebene angegebene Explizite als ein Übereinstimmungskriterien im Firewall-Filter angegeben wird. Dies ermöglicht dem Junos OS, Datenverkehr an der Loopbackschnittstelle von der angegebenen Quelladresse zu akzeptieren.
Im folgenden Beispiel wird ein Firewall-Filter mit der 10.0.10.100 Quelladresse angezeigt, die in der Anweisung in from der Hierarchie angegeben [edit firewall filter firewall-filter-name] ist:
[edit firewall filter Loopback-Interface-Firewall-Filter]
term Allow-NTP {
from {
source-address {
172.17.27.46/32; // IP address of the NTP server
10.0.10.100/32; // Source address specified for the NTP server
}
then accept;
}
}
Wenn für source-address den NTP-Server kein Konfiguriert ist, fügen Sie die primäre Adresse der Loopbackschnittstelle im Firewall-Filter ein.
NTP-Konfiguration
Das Network Time Protocol (NTP) stellt die Mechanismen zur Synchronisation von Zeit und zur Koordination der Zeitverteilung in einem großen, heterogenen Netzwerk zur Auswahl. Debugging und Fehlerbehebung sind viel einfacher, wenn die Zeitstempel in allen Routern oder Switches synchronisiert werden, da Ereignisse, die das Netzwerk umfassen, mit synchronen Einträgen in mehreren Protokollen korreliert werden können. Wir empfehlen die Verwendung des Network Time Protocol (NTP), um die Systemzeit von Routern, Switches und anderen Netzwerkgeräten zu synchronisieren.
So konfigurieren Sie NTP:
Beispiel: NTP konfigurieren
Das Network Time Protocol (NTP) stellt den Mechanismus zur Synchronisation von Zeit und zur Koordination der Zeitverteilung in einem großen, heterogenen Netzwerk dar. NTP verwendet ein Returnable-Time-Design, in dem ein verteiltes Subnetz von Zeitservern, die in einer sich selbst organisierenden, hierarchischen primären konfiguration operieren, lokale Uhren innerhalb des Subnetzes und mit nationalen Zeitstandards über Kabel oder Funk synchronisiert. Die Server können auch Referenzzeit anhand lokaler Routingalgorithmen und Zeit-Daemons neu verteilen.
In diesem Beispiel wird die Konfiguration von NTP gezeigt:
Anforderungen
In diesem Beispiel werden die folgenden Software- und Hardwarekomponenten verwendet:
-
Junos OS Version 11.1 oder höher
-
Ein Switch, der mit dem Netzwerk verbunden ist, in dem sich ein NTP-Boot-Server und ein NTP-Server befinden
Übersicht
Debugging und Fehlerbehebung sind viel einfacher, wenn die Zeitstempel in den Protokolldateien aller Switches synchronisiert werden, da Ereignisse, die ein Netzwerk umfassen, mit synchronen Einträgen in mehreren Protokollen korreliert werden können. Wir empfehlen, das Network Time Protocol (NTP) zur Synchronisation der Systemzeitzeit Ihres Switches und anderer Netzwerkgeräte zu verwenden.
In diesem Beispiel möchte ein Administrator die Zeit in einem Switch mit einer Einzelzeitquelle synchronisieren. Wir empfehlen die Verwendung der Authentifizierung, um sicherzustellen, dass dem NTP-Peer vertraut wird. Die boot-server Aussage identifiziert den Server, von dem aus die anfängliche Tageszeit und das Datum beim Einschalten des Switches ermittelt werden. Die server Aussage identifiziert den ntp-Server, der für die regelmäßige Zeitsynchronisation verwendet wird. authentication-key Die Aussage gibt an, dass ein H SOR-Message Digest 5 (MD5)-Schema zum Hashen des Schlüsselwerts für die Authentifizierung verwendet wird. Dies verhindert, dass der Switch mit dem Host eines Angreifers synchronisiert wird, der als Zeitserver posiert.
Konfiguration
So konfigurieren Sie NTP:
Verfahren
CLI-Konfiguration
Kopieren Sie die folgenden Befehle, um NTP schnell zu konfigurieren, und fügen Sie sie in das Terminal-Fenster des Switches ein:
[edit system] set ntp boot-server 10.1.4.1 set ntp server 10.1.4.2 set ntp authentication-key 2 type md5 value "$ABC123"
Schritt-für-Schritt-Verfahren
NtP konfigurieren:
-
Den Boot-Server angeben:
[edit system] user@switch# set ntp boot-server 10.1.4.1
-
DEN NTP-Server angeben:
[edit system] user@switch# set ntp server 10.1.4.2
-
Geben Sie die Schlüsselnummer, den Authentifizierungstyp (MD5) und den Schlüssel zur Authentifizierung an:
[edit system] user@switch# set ntp authentication-key 2 type md5 value "$ABC123"
Ergebnisse
Ergebnisse prüfen:
[edit system]
user@switch# show
ntp {
boot-server 10.1.4.1;
authentication-key 2 type md5 value "$ABC123"; ## SECRET-DATA
server 10.1.4.2;
}
Überprüfung
Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration korrekt ist:
Überprüfung der Zeit
Zweck
Überprüfen Sie die Zeit, die auf dem Switch festgelegt wurde.
Aktion
Geben Sie den show system uptime Befehl im Betriebsmodus ein, um die Zeit anzuzeigen.
user@switch> show system uptime fpc0: -------------------------------------------------------------------------- Current time: 2009-06-12 12:49:03 PDT System booted: 2009-05-15 06:24:43 PDT (4w0d 06:24 ago) Protocols started: 2009-05-15 06:27:08 PDT (4w0d 06:21 ago) Last configured: 2009-05-27 14:57:03 PDT (2w1d 21:52 ago) by admin1 12:49PM up 28 days, 6:24, 1 user, load averages: 0.05, 0.06, 0.01
Bedeutung
Die Ausgabe zeigt, dass das aktuelle Datum und die Uhrzeit vom 12. Juni 2009 bis 12:49:03 Uhr PDT sind. Der Switch wurde vor 4 Wochen, 6 Stunden und 24 Minuten gestartet und die Protokolle wurden ca. 3 Minuten gestartet, bevor er hochfing. Der Switch wurde zuletzt am 27. Mai 2009 von Benutzeradministrator 1 konfiguriert, und derzeit ist ein Benutzer am Switch angemeldet.
Die Ausgabe zeigt auch, dass die Last in der letzten Minute 0,05 Sekunden, in den letzten 5 Minuten 0,06 Sekunden und in den letzten 15 Minuten 0,01 Sekunden beträgt.
Anzeige der NTP-Peers
Zweck
Vergewissern Sie sich, dass die Zeit von einem NTP-Server erhalten wurde.
Aktion
Geben Sie den show ntp associations Befehl zum Betriebsmodus ein, um den NTP-Server des Switches anzuzeigen, der seine Zeit erhalten hat.
user@switch> show ntp associations
remote refid st t when poll reach delay offset jitter
==============================================================================
*ntp.net .GPS. 1 u 414 1024 377 3.435 4.002 0.765
Bedeutung
Das Sternchen (*) vor dem NTP-Servernamen oder -Peer gibt an, dass die Zeit synchronisiert und von diesem Server erhalten wird. Verzögerung, Versatz und Jitter werden in Millisekunden angezeigt.
Anzeige des NTP-Status
Zweck
Zeigen Sie die Konfiguration des NTP-Servers und den Systemstatus an.
Aktion
Geben Sie den show ntp status Betriebsmodusbefehl ein, um den Status des NTP anzuzeigen.
user@switch> show ntp status status=0644 leap_none, sync_ntp, 4 events, event_peer/strat_chg, version="ntpd 4.2.0-a Mon Apr 13 19:09:05 UTC 2009 (1)", processor="powerpc", system="JUNOS9.5R1.8", leap=00, stratum=2, precision=-18, rootdelay=2.805, rootdispersion=42.018, peer=48172, refid=192.168.28.5, reftime=cddd397a.60e6d7bf Fri, Jun 12 2009 13:30:50.378, poll=10, clock=cddd3b1b.ec5a2bb4 Fri, Jun 12 2009 13:37:47.923, state=4, offset=3.706, frequency=-23.018, jitter=1.818, stability=0.303
Bedeutung
Die Ausgabe zeigt Statusinformationen über den Switch und den NTP.
NTP-Authentifizierungsschlüssel
Die Zeitsynchronisation kann authentifiziert werden, um sicherzustellen, dass der Switch seine Zeitdienste nur aus bekannten Quellen erhält. Standardmäßig ist die Netzwerkzeitsynchronisation nicht authentifiziert. Der Switch synchronisiert sich mit dem System, das den anscheint, die genaueste Zeit zu haben. Wir empfehlen Ihnen dringend, die Authentifizierung von Netzwerkzeitservices zu konfigurieren.
Um andere Zeitserver zu authentifizieren, fügen Sie die trusted-key Anweisung auf der Hierarchieebene [edit system ntp] ein. Nur Zeitserver, die Netzwerkzeitpakete mit einer der angegebenen Schlüsselnummern übertragen, sind für die Synchronisation geeignet. Darüber hinaus muss der Schlüssel dem Wert entsprechen, der für diese Schlüsselnummer konfiguriert wurde. Andere Systeme können mit dem lokalen Switch synchronisiert werden, ohne authentifiziert zu werden.
[edit system ntp] trusted-key[ key-numbers ];
Jeder Schlüssel kann eine ganz, nicht signierte 32-Bit-Ganzzahl außer 0 sein. Geben Sie bei der Übertragung von Paketen die Schlüsseloption in Peer-,broadcast Server- oder Anweisungen an die Übertragung des angegebenen Authentifizierungsschlüssels. Der Schlüssel ist erforderlich, wenn das Remotesystem über Authentifizierung aktiviert ist, damit es mit dem lokalen System synchronisiert werden kann.
Um die Authentifizierungsschlüssel zu definieren, fügen Sie die authentication-key Aussage auf der Hierarchieebene [edit system ntp] hinzu:
[edit system ntp] authentication-key key-number type type value password;
number ist die Schlüsselnummer, type der Authentifizierungstyp (nur Message Digest 5 [MD5] , SHA1 und SHA2-256 werden unterstützt) password und ist das Kennwort für diesen Schlüssel. Schlüsselnummer, Typ und Kennwort müssen in allen Systemen übereinstimmen. Dabei wird der spezielle Authentifizierungsschlüssel verwendet. Für die Konfiguration des Authentifizierungsschlüssels für Network Time Protocol (NTP) darf kein Platz im Kennwort sein.
Konfigurieren von Geräten zum Abhören von Broadcast-Nachrichten mit NTP
Wenn Sie NTP verwenden, können Sie den lokalen Router oder Switch so konfigurieren, dass er Broadcast-Nachrichten im lokalen Netzwerk abhört, um andere Server im selben Subnetz broadcast-client [edit system ntp] zu entdecken, und die Anweisung auf der Hierarchieebene einschlingen:
[edit system ntp] broadcast-client;
Wenn der Router oder Switch eine Broadcast-Nachricht zum ersten Mal erkennt, misst er die nominale Netzwerkverzögerung über einen kurzen Client-Server-Austausch mit dem Remoteserver. Anschließend tritt er in den Broadcast-Clientmodus ein, in dem er Broadcast-Nachrichten abhört und synchronisiert.
Um in diesem Modus versehentliche oder bösartige Unterbrechungen zu vermeiden, müssen sowohl lokale als auch Remote-Systeme Authentifizierung und denselben vertrauenswürdigen Schlüssel und die Schlüsselkennung verwenden.
Konfigurieren von Geräten zum Abhören von Multicast-Nachrichten mit NTP
Wenn Sie NTP verwenden, können Sie den lokalen Router oder Switch so konfigurieren, dass er Multicastmeldungen multicast-client [edit system ntp] im lokalen Netzwerk abhört, um andere Server im selben Subnetz zu entdecken, indem Sie die Anweisung auf der Hierarchieebene einschlingen:
[edit system ntp] multicast-client <address>;
Wenn der Router oder Switch zum ersten Mal eine Multicast-Nachricht empfängt, misst er die nominale Netzwerkverzögerung über einen kurzen Client-Server-Austausch mit dem Remoteserver. Anschließend gibt er den Multicast-Clientmodus ein, in dem er nach erfolgreichen Multicast-Nachrichten abhört und synchronisiert.
Sie können mindestens eine IP-Adresse angeben. (Sie müssen eine Adresse und keinen Hostnamen angeben.) Wenn dies dert ist, tritt der Router bzw. Switch diesen Multicastgruppen bei. Wenn Sie keine Adressen angeben, verwendet die Software 224.0.1.1.
Um in diesem Modus versehentliche oder bösartige Unterbrechungen zu vermeiden, müssen sowohl lokale als auch Remote-Systeme Authentifizierung und denselben vertrauenswürdigen Schlüssel und die Schlüsselkennung verwenden.