NTPタイムサーバー
IETFは、ネットワークを介して相互に接続されたコンピューターシステムのクロックを同期させるためのネットワークタイムプロトコル(NTP)を定義しました。ほとんどの大規模ネットワークにはNTPサーバーがあり、デバイスの場所に関係なく、すべてのデバイスの時間が同期されます。ネットワーク上で1つ以上のNTPサーバーを使用する場合は、Junos OS設定にNTSサーバーアドレスが含まれていることを確認してください。
NTPを設定する際に、ネットワーク上のどのシステムが権限のあるタイムソースまたはタイムサーバーであるか、およびネットワーク上のシステム間で時間を同期する方法を指定できます。これを行うには、ルーター、スイッチ、またはセキュリティ デバイスを次のいずれかのモードで動作するように設定します。
-
クライアントモード—このモードでは、ローカルルーターまたはスイッチをリモートシステムと同期できますが、リモートシステムをローカルルーターまたはスイッチと同期させることはできません。
-
対称アクティブモード—このモードでは、ローカルルーターまたはスイッチとリモートシステムが相互に同期できます。このモードは、ローカルルーターまたはスイッチ、またはリモートシステムのどちらかが時間のソースとなる可能性のあるネットワークで使用します。
対称アクティブモードは、ローカルシステムまたはリモートシステムのいずれかから開始できます。そのために設定する必要があるシステムは 1 つだけです。つまり、ローカルシステムは、何の設定もすることなく、対称アクティブモードを提供する任意のシステムと同期できます。ただし、ローカルシステムが既知の時刻サーバーとのみ同期するように認証を設定することを強くお勧めします。
-
ブロードキャストモード—このモードでは、ローカルルーターまたはスイッチが、指定されたブロードキャストまたはマルチキャストアドレスのクライアント母集団に定期的なブロードキャストメッセージを送信します。通常、このステートメントは、ローカルルーターまたはスイッチがトランスミッターとして動作している場合にのみ含めます。
-
サーバーモード—このモードでは、ローカルルーターまたはスイッチがNTPサーバーとして動作します。
NTPサーバーモードでは、Junos OSは以下のような認証をサポートします。
-
クライアントからのNTPリクエストに認証キー(パケットとともに送信されたキーIDやメッセージダイジェストなど)が含まれる場合、リクエストは処理され、認証キーの一致に基づいて応答されます。
-
クライアントからのNTPリクエストが認証キーなしで送信された場合、リクエストは認証なしで処理され、応答されます。
注:時間の精度、耐障害性、候補の選択を改善するために、信頼できるNTPサーバーを少なくとも3台、最大5台設定することをお勧めします。セキュリティを強化するには、(共有キーまたはNTSを使用して)認証を有効にし、時間同期が信頼できる検証済みの送信元とのみ行われるようにします。
-
NTPタイムサーバーとタイムサービスを設定する
NTPを使用する場合は、ルーターまたはスイッチが以下のいずれかのモードで動作するように設定します。
-
クライアントモード
-
対称アクティブモード
-
ブロードキャストモード
-
サーバーモード
- クライアントモードで動作するようにルーターまたはスイッチを設定します
- ルーターまたはスイッチが対称アクティブモードで動作するように設定します
- ブロードキャストモードで動作するようにルーターまたはスイッチを設定します
- サーバーモードで動作するようにルーターまたはスイッチを設定します
クライアントモードで動作するようにルーターまたはスイッチを設定します
ローカルルーターまたはスイッチがクライアントモードで動作するように設定するには、[edit system ntp]階層レベルでserverステートメントとその他のオプションのステートメントを含めます。
[edit system ntp] server address <key key-number> <version value> <prefer>; authentication-key key-number type type value password; trusted-key[key-numbers];
タイムサーバーとして機能するシステムのアドレスを指定します。ホスト名ではなくアドレスを指定する必要があります。
タイムサーバーに送信されるすべてのメッセージに認証キーを含めるには、 キー オプションを含めます。キーは、「」で説明されているように、 authentication-key ステートメントで指定したキー番号に対応します。
デフォルトでは、ルーターまたはスイッチがNTPバージョン4パケットをタイムサーバーに送信します。NTPバージョンレベルを1、2、または3に設定するには、 バージョン オプションを含めます。
複数のタイムサーバーを設定する場合、 優先 オプションを含めることで、1つのサーバーを優先としてマークできます。
次の例は、ルーターまたはスイッチがクライアントモードで動作するように設定する方法を示しています。
[edit system ntp] authentication-key 1 type md5 value "$ABC123"; server 10.1.1.1 key 1 prefer; trusted-key 1;
ルーターまたはスイッチが対称アクティブモードで動作するように設定します
ローカルルーターまたはスイッチが対称アクティブモードで動作するように設定するには、[edit system ntp]階層レベルでpeerステートメントを含めます。
[edit system ntp] peer address <key key-number> <version value> <prefer>;
リモートシステムのアドレスを指定します。ホスト名ではなくアドレスを指定する必要があります。
リモート・システムに送信されるすべてのメッセージに認証キーを含めるには、 キー ・オプションを含めます。キーは、 authentication-key ステートメントで指定したキー番号に対応します。
デフォルトでは、ルーターまたはスイッチはNTPバージョン4パケットをリモートシステムに送信します。NTPバージョンレベルを1、2、または3に設定するには、 バージョン オプションを含めます。
複数のリモートシステムを設定する場合、 優先 オプションを含めることで、1つのシステムを優先としてマークすることができます。
peer address <key key-number> <version value> prefer;
ブロードキャストモードで動作するようにルーターまたはスイッチを設定します
以下の手順に従って、デバイスをブロードキャストモードで動作するように設定します。
(オプション)リモート・システムに送信されるすべてのメッセージに認証キーを含めるには、キー・オプションを設定します。キーは、
authentication-keyステートメントで指定したキー番号に対応します。set system ntp authentication-key 1 type md5 set system ntp authentication-key 1 value ”$ABC123” set system ntp trusted-key 1
デバイス上のNTPサーバーアドレスを設定します。
set system ntp server IP address
IPv4 または IPv6 マルチキャストを使用して時刻更新をアドバタイズするようにデバイスを設定します。
デバイスがブロードキャストモードで動作するには、デバイスでマルチキャストを有効にする必要があります。ローカルネットワークの1つのブブロードキャストアドレス、またはNTPに割り当てられたマルチキャストアドレスを指定します。ホスト名は使用できません。マルチキャストアドレスを使用する場合、IPv4の場合は224.0.1.1、IPv6の場合はff05::101である必要があります。
set system ntp broadcast ff05::101 key 1
(オプション)デフォルトでは、デバイスはNTPバージョン4パケットをリモートシステムに送信します。NTPバージョンレベルを1、2、または3に設定するには、バージョンオプションを含めます。
set system ntp broadcast ff05::101 version 4
NTPパケットに特定の送信元アドレスを使用するようにデバイスを構成します。
set system ntp source-address IP address
デバイスがマルチキャストアドレス(224.0.1.1またはff05::101)を介してNTPパケットを送信できるように、すべてのNTPクライアント向けインターフェイスでマルチキャストプロトコルPIMを有効にします。
set protocols pim rp local address <interface_ip> set protocols pim interface <interface_name> mode sparse-dense
IPv4アドレス(224.0.1.1)の場合、NTPクライアント向けのインターフェイスでIGMPを有効にする必要があります。
set protocols igmp interface <interface_name> static group 224.0.1.1
IPv6アドレス(ff05::101)の場合、マルチキャストグループff05::101に参加するために、各NTPクライアントに面したサブインターフェイスでMLD(マルチキャストリスナー検出)を有効にします。
set protocols mld interface xe-0/0/11:0.1200 static group ff05::101 set protocols mld interface xe-0/0/11:0.1400 static group ff05::101 set protocols mld interface xe-0/0/11:0.2100 static group ff05::101
-
set system ntp broadcast address <routing-instance-name routing-instance-name>コマンドを使用してNTPを設定する場合、指定するルーティングインスタンスはL3ルーティングインスタンスである必要があります。NTPは、EVPNやVPLSなどのL2ルーティングインスタンスをサポートしていないため、NTP設定で指定しないでください。 -
NTP over マルチキャストは、デバイスのルーティングインスタンス内ではサポートされていません。
サーバーモードで動作するようにルーターまたはスイッチを設定します
サーバーモードでは、クライアントが適切に設定されている場合、ルーターまたはスイッチがクライアントのNTPサーバーとして機能します。「サーバーモード」の唯一の前提条件は、ルーターまたはスイッチが別のNTPピアまたはサーバーから時間を受信している必要があることです。ルーターまたはスイッチに他の設定は必要ありません。
管理VRF(mgmt_junos)でNTPサービスを設定する場合、NTPサービスがmgmt_junos VRFと連携するためには、デフォルトルーティングインスタンス内の物理または論理インターフェイスに少なくとも1つのIPアドレスを設定し、このインターフェイスが稼働していることを確認する必要があります。
ローカルルーターまたはスイッチをNTPサーバーとして動作するように設定するには、 [edit system ntp] 階層レベルで以下のステートメントを含めます。
[edit system ntp] authentication-key key-number type type value password; server address <key key-number> <version value> <prefer>; trusted-key [key-numbers];
タイムサーバーとして機能するシステムのアドレスを指定します。ホスト名ではなくアドレスを指定する必要があります。
タイムサーバーに送信されるすべてのメッセージに認証キーを含めるには、 キー オプションを含めます。キーは、 authentication-key ステートメントで指定したキー番号に対応します。
デフォルトでは、ルーターまたはスイッチがNTPバージョン4パケットをタイムサーバーに送信します。NTPバージョンレベルを1、2、または3に設定するには、 バージョン オプションを含めます。
複数のタイムサーバーを設定する場合、 優先 オプションを含めることで、1つのサーバーを優先としてマークできます。
以下の例は、ルーターまたはスイッチをサーバーモードで動作するように設定する方法を示しています。
[edit system ntp] authentication-key 1 type md5 value "$ABC123"; server 192.168.27.46 prefer; trusted-key 1;
Junos OS Evolvedリリース24.2R1以降、NTS機能を設定するための次のオプションが追加されています。
[edit system ntp]
nts
{
local-certificate <certificate-id of local certificate>;
trusted-ca (trusted-ca-group <trusted ca-group name> | trusted-ca-profile <ca-profile name>);
}
[edit system ntp server <server>]
nts remote-identity
{
hostname <FQDN of server>;
distinguished-name (container <container-string> | wildcard <wild-card string>);
}