Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ntp

Syntax

Hierarchy Level

Description

Konfigurieren Sie NTP auf dem Gerät. Sowohl im Eigenständigen als auch im Gehäuse-Clustermodus führt die primäre Routing-Engine den NTP-Prozess aus, um die Zeit vom externen NTP-Server zu erhalten. Obwohl die sekundäre Routing-Engine den NTP-Prozess ausführt, um die Zeit vom externen NTP-Server zu erhalten, schlägt dieser Versuch aufgrund von Netzwerkproblemen fehl. Aus diesem Grund verwendet die sekundäre Routing-Engine NTP, um die Zeit von der primären Routing-Engine abzuholen.

Bei der Konfiguration des NTP-Dienstes in der Verwaltungs-VRF (mgmt_junos) müssen Sie innerhalb der Standardroutinginstanz mindestens eine IP-Adresse auf einer physischen oder logischen Schnittstelle konfigurieren und sicherstellen, dass diese Schnittstelle aktiviert ist, damit der NTP-Dienst mit der mgmt_junos VRF funktioniert.

Options

Authentifizierungsschlüssel-key_number

Konfigurieren Sie den Schlüssel (Schlüssel-ID, Schlüsseltyp und Schlüsselwert), um NTP-Pakete mit den Geräten (Servern und Clients) zu authentifizieren. Der Authentifizierungsschlüssel hat zwei Felder:

  • type– Wenn die Authentifizierung angegeben wird, wird der Schlüssel-Identifikator (Schlüssel-ID) gefolgt von dem Nachrichten-Digest an den NTP-Paket-Header angehängt. Die unterstützten Nachrichten-Digest-Formate sind md5, sha1, sha256.

  • value— Wenn der Schlüsselwert im ASCII-Format und ohne Sonderzeichen verfügbar ist, kann er direkt eingegeben werden. Wenn der Schlüsselwert Sonderzeichen enthält oder im Hex-Format verfügbar ist, sollten Sie Folgendes beachten:

    Für die Angabe der Schlüssel im Hex-Format haben Sie ein "\x" für jeweils zwei Zeichen vorinstalliert. Beispiel: af60112f... 39af4ced, set system ntp authentication-key <ID> value "\xaf\x60\x11\x2f\....\x39\xaf\x4c\xed".

    Wenn der Schlüssel eines der Zeichen enthält, das (null) 0x00, (space) 0x20, " 0x22, & 0x26, ( 0x28 ) 0x29 "\\x" vorinstalliert hat. \\x22Beispiel: .

  • Bereich: 1 bis 65534

Boot-Server (Adresse | Hostname)

Konfigurieren Sie den Server, den NTP abfragt, wenn das Gerät gestartet wird, um das lokale Datum und die lokale Uhrzeit zu bestimmen.

Beim Starten des Geräts wird eine ntpdate-Anfrage ausgeführt, die einen Netzwerkserver abruft, um das lokale Datum und die lokale Uhrzeit zu bestimmen. Sie müssen einen NTP-Bootserver konfigurieren, den das Gerät verwendet, um den Zeitpunkt des Gerätestarts zu bestimmen. Andernfalls kann NTP nicht mit einem Zeitserver synchronisiert werden, wenn die Serverzeit erheblich von der Zeit des lokalen Geräts unterscheidet.

Wenn Sie einen NTP-Bootserver konfigurieren, synchronisiert er beim Gerätestart sofort mit dem Boot-Server, selbst wenn der NTP-Prozess explizit deaktiviert ist oder wenn die Zeitdifferenz zwischen Client und Boot-Server den Schwellenwert von 1000 Sekunden überschreitet.

  • Werte: Konfigurieren Sie einen der folgenden Optionen:

    • -IP-Adresse eines NTP-Bootservers.

    • Hostname – Hostname eines NTP-Bootservers. Wenn Sie einen Hostnamen anstelle einer IP-Adresse konfigurieren, löst die ntpdate-Anforderung den Hostnamen auf eine IP-Adresse, wenn das Gerät gestartet wird.

Broadcast <address> <Schlüsselnummer> <Routing-Instanzname Routing-Instanzname> <ttl-Wert> <Versionswert>

Konfigurieren Sie das Gerät für den Betrieb im Broadcast-Modus mit dem Remotesystem an der angegebenen Adresse. In diesem Modus sendet das Gerät periodische Broadcast-Nachrichten an eine Client-Population an die angegebene Broadcast- oder Multicastadresse. Normalerweise fügen Sie diese Aussage nur dann ein, wenn das Gerät als Sender arbeitet.

Adresse

Konfigurieren Sie die Broadcast-Adresse in einem der lokalen Netzwerke oder eine Multicastadresse, die NTP zugewiesen wurde. Sie müssen eine Adresse und keinen Hostnamen angeben. Wenn die Multicastadresse verwendet wird, muss sie dies sein 224.0.1.1.

Schlüsselnummer

(Optional) Alle an die Adresse gesendeten Pakete umfassen Authentifizierungsfelder, die mit der angegebenen Schlüsselnummer verschlüsselt werden (alle nicht signierten 32-Bit-Ganzzahl außer 0). Der Schlüssel entspricht der Schlüsselnummer, die Sie in der Authentifizierungsschlüsselanweisung angegeben haben.

Routing-Instanz-Name Routing-Instanz-Name

(Optional) Konfigurieren Sie den Namen der Routinginstanz, in dem die Schnittstelle eine Adresse im Broadcast-Subnetz hat.

  • Standard: Die Standardroutinginstanz wird zum Senden von Paketen verwendet.

TTL-Wert

(Optional) Konfigurieren Sie den Time-to-Live-Wert (TTL).

  • Bereich: 1 bis 255

  • Standard: 1

Versionswert

(Optional) Geben Sie die Versionsnummer an, die in ausgehenden NTP-Paketen verwendet werden soll.

  • Bereich: 1 bis 4

  • Standard: 4

Broadcast-Client

Konfigurieren Sie das lokale Gerät so, dass broadcast-Nachrichten im lokalen Netzwerk abgehört werden, um andere Server im selben Subnetz zu erkennen. Um in diesem Modus versehentliche oder bösartige Unterbrechungen zu vermeiden, müssen sowohl lokale als auch Remote-Systeme die Authentifizierung und denselben vertrauenswürdigen Schlüssel und schlüsselgleichen Identifikator verwenden.

Intervallbereichswert

Konfigurieren Sie den Abfrageintervallbereich.

  • Bereich: 0 bis 3

Multicast-Client-<address>

Konfigurieren Sie das lokale Gerät, um multicast-Nachrichten im lokalen Netzwerk abzuhören. Um in diesem Modus versehentliche oder bösartige Unterbrechungen zu vermeiden, müssen sowohl lokale als auch Remote-Systeme die Authentifizierung und denselben vertrauenswürdigen Schlüssel und schlüsselgleichen Identifikator verwenden.

  • Syntax: <address>– (optional) Geben Sie eine oder mehrere IP-Adressen an. Wenn Sie Adressen angeben, tritt das Gerät diesen Multicastgruppen bei.

  • Standard: 224.0.1.1

nts <local-certificate local-certificate><trusted-ca (trusted-ca-group trusted-ca-group | trusted-ca-profile trusted-ca-profile)

Konfigurieren Sie die Network Time Security (NTS)-Funktionen für NTP auf Ihrem Gerät.

local-certificate local-certificate

Geben Sie das auf Ihrem Gerät geladene Zertifikat während der Zertifikatsregistrierung an oder laden Sie es manuell durch Angabe der Zertifikatsdatei.

vertrauenswürdig

Geben Sie eine vertrauenswürdige CA-Gruppe oder ein CA-Profil an. Diese Konfiguration ist optional. Wenn Sie kein vertrauenswürdiges CA-Profil angeben, vertraut NTP allen für NTS konfigurierten CA-Profilen.

trusted-ca-group trusted-ca-group

Geben Sie die vertrauenswürdige CA-Gruppe an, die unter [set security pki trusted-ca-group] definiert ist.

Trusted-CA-Profil Trusted-CA-Profil

Geben Sie das vertrauenswürdige CA-Profil an.

Peer-Adresse <Schlüsselnummer> <vorbereitstellung> <Versionswert>

Konfigurieren Sie das lokale Gerät für den Betrieb im symmetrischen aktiv-Modus mit dem Remotesystem an der angegebenen Adresse. In diesem Modus können das lokale Gerät und das Remote-System miteinander synchronisiert werden. Diese Konfiguration ist in einem Netzwerk nützlich, in dem entweder das lokale Gerät oder das Remote-System eine bessere Zeitquelle sein könnten.

Adresse

Adresse des Remotesystems. Sie müssen eine Adresse und keinen Hostnamen angeben.

Schlüsselnummer

(Optional) Alle an die Adresse gesendeten Pakete umfassen Authentifizierungsfelder, die mit der angegebenen Schlüsselnummer verschlüsselt werden (alle nicht signierten 32-Bit-Ganzzahl außer 0). Der Schlüssel entspricht der Schlüsselnummer, die Sie in der Authentifizierungsschlüsselanweisung angegeben haben.

Bevorzugen

(Optional) Markieren Sie das Remotesystem als bevorzugten Host. Wenn alle anderen Faktoren gleich sind, wird dieses Remotesystem für die Synchronisierung zwischen einer Gruppe von korrekten Betriebssystemen ausgewählt.

Versionswert

(Optional) Geben Sie die NTP-Versionsnummer an, die in ausgehenden NTP-Paketen verwendet werden soll.

  • Bereich: 1 bis 4

  • Standard: 4

Beschränkung der AdressmaskeNetzwerkmaskenn

Beschränken Sie Pakete von Hosts (einschließlich Remote-Zeitservern) und Subnetzen.

  • Syntax:

    • Adresse: Geben Sie die IP-Adresse für einen Host oder ein Netzwerk an.

    • Netzwerkmaske: Geben Sie die Netzwerkmaske für einen Host oder ein Netzwerk an.

    • noinnen – Deny ntpq- und ntpdc-Abfragen von Hosts und Subnetzen. Diese Abfragen können zur Verstärkung von Angriffen verwendet werden.

Server

Konfigurieren Sie das lokale Gerät für den Betrieb im Client-Modus mit dem Remotesystem an der angegebenen Adresse. In diesem Modus kann das Gerät mit dem Remotesystem synchronisiert werden, aber das Remotesystem kann nie mit dem Gerät synchronisiert werden.

Wenn die NTP-Clientzeit so abtreibt, dass der Zeitunterschied vom NTP-Server 128 Millisekunden überschreitet, wird der Client automatisch in die Synchronisierung zurückgestuft. Wenn der Versatz zwischen dem NTP-Client und dem Server den Schwellenwert von 1000 Sekunden überschreitet, synchronisiert der Client weiterhin mit dem Server, generiert aber auch eine Systemprotokollnachricht, in der festgestellt wird, dass der Schwellenwert überschritten wurde.

Adresse

Adresse des Remotesystems. Sie müssen eine Adresse und keinen Hostnamen angeben.

Schlüsselnummer

(Optional) Alle an die Adresse gesendeten Pakete umfassen Authentifizierungsfelder, die mit der angegebenen Schlüsselnummer verschlüsselt werden (alle nicht signierten 32-Bit-Ganzzahl außer 0). Der Schlüssel entspricht der Schlüsselnummer, die Sie in der Authentifizierungsschlüsselanweisung angegeben haben.

Bevorzugen

(Optional) Markieren Sie das Remotesystem als bevorzugten Host. Wenn alle anderen Faktoren gleich sind, wird dieses Remotesystem für die Synchronisierung zwischen einer Gruppe von korrekten Betriebssystemen ausgewählt.

Routing-Instanz Routing-Instanz

(Optional) Routing-Instanz, über die der Server erreichbar ist.

NTS

Ermöglicht NTS, das TLS-Protokoll (Transport Layer Security) und Authenticated Encryption with Associated Data (AEAD) verwendet, um Netzwerkzeit für die Benutzer authentifiziert zu erhalten. Der angegebene Server muss auch die NTS-Funktion unterstützen, wenn Sie NTS auf einem Clientgerät aktivieren.

Versionswert

(Optional) Geben Sie die NTP-Versionsnummer an, die in ausgehenden NTP-Paketen verwendet werden soll.

  • Bereich: 1 bis 4

  • Standard: 4

Source AddressSource-Address <Routing-Instanz [ Routing-Instanz-Name ]>

Eine gültige IP-Adresse, die an einer der Schnittstellen des Geräts konfiguriert ist und als Quelladresse für Nachrichten verwendet wird, die an den NTP-Server gesendet werden, und optional die Routing-Instanz, in der die Quelladresse konfiguriert ist.

  • Standard: Die primäre Adresse der Schnittstelle

Aktion "Schwellenwerte" (akzeptieren | ablehnen)

Konfigurieren Sie den maximalen Schwellenwert in Sekunden, der für die NTP-Anpassung zulässig ist, und geben Sie den Modus für die ntp-anormale Anpassung an.

  • Bereich: 1 bis 600 Sekunden

  • Werte: Konfigurieren Sie einen der folgenden Optionen:

    • accept – Protokollmodus für anormale NTP-Anpassung aktivieren.

    • reject – Den Reject-Modus für eine abnormale NTP-Anpassung aktivieren.

vertrauenswürdiger Schlüssel [ Schlüsselnummern ]

Konfigurieren Sie einen oder mehrere Schlüssel, die Sie zur Authentifizierung anderer Zeitserver verwenden dürfen, wenn Sie das lokale Gerät so konfigurieren, dass es seine Zeit mit anderen Systemen im Netzwerk synchronisiert. Jeder Schlüssel kann eine beliebige 32-Bit-Ganzzahl ohne Vorzeichen außer 0 sein. Der Schlüssel entspricht der Schlüsselnummer, die Sie in der Authentifizierungsschlüsselanweisung angeben.

Standardmäßig ist die Netzwerkzeitsynchronisation nicht authentifiziert. Das Gerät synchronisiert mit dem System, das die genaueste Zeit hat. Wir empfehlen Ihnen dringend, die Authentifizierung von Netzwerkzeitdiensten zu konfigurieren.

Required Privilege Level

System: Um diese Anweisung in der Konfiguration anzuzeigen.

Systemsteuerung: Um diese Anweisung der Konfiguration hinzuzufügen.

Release Information

Erklärung, die vor Junos OS Version 7.4 eingeführt wurde.

routing-instance -Option für die server in Junos OS Version 18.1 eingeführte Anweisung.

restrict in Junos OS Version 20.1 eingeführt.