ネットワークタイムプロトコル
概要 ネットワークタイムプロトコル(NTP)は、ネットワーク内のすべてのデバイスの時刻を同期するために使用されるプロトコルです。
NTP の概要
ネットワークタイムプロトコル(NTP)は、インターネット上のルーターやその他のハードウェアデバイスのクロックを同期するために使用される広く使用されているプロトコルです。プライマリ NTP サーバーは、協定世界時 (UTC) に直接トレース可能な基準クロックに同期されます。基準クロックにはGPS受信機と電話モデムサービスが含まれます。NTPの精度の期待値は、環境アプリケーションの要件によって異なります。ただし、NTP は通常、パブリック インターネット上で数十ミリ秒以内の時間を維持できます。
NTP は、RFC 5905: Network Time Protocol version 4: Protocol and Algorithms Specification で定義されています
Junos OSを実行するデバイスは、NTPクライアント、セカンダリNTPサーバー、またはプライマリNTPサーバーとして機能するように設定できます。これらのバリエーションは次のとおりです。
-
プライマリ NTP サーバ:プライマリ NTP サーバは、UTC に直接トレース可能な基準クロックに同期されます。これらのサーバーは、この時間データをダウンストリームで他のセカンダリ NTP サーバーまたは NTP クライアントに再配布します。
-
セカンダリ NTP サーバ:セカンダリ NTP サーバは、プライマリまたはセカンダリ NTP サーバに同期されます。これらのサーバーは、このデータを他のセカンダリ NTP サーバーまたは NTP クライアントにダウンストリームで再配布します。
-
NTP クライアント:NTP クライアントは、プライマリまたはセカンダリの NTP サーバに同期されます。クライアントは、この時間データを他のデバイスに再配布しません。
NTPサブネットには、ネットワークのプライマリNTPサーバーとして使用できる、広くアクセス可能なパブリックプライマリタイムサーバーが多数含まれています。ジュニパーネットワークスでは、使用するプライマリサーバーを認証することを強くお勧めします。
ネットワーク上の各デバイスは、次の NTP モードの 1 つ以上で動作するように設定できます。
-
ブロードキャスト モード:1 つ以上のデバイスが、指定されたブロードキャストまたはマルチキャスト アドレスに時刻情報を送信するように設定されています。他のデバイスは、これらのアドレスで時刻同期パケットをリッスンします。このモードは、クライアント/サーバー モードよりも精度が低くなります。
-
クライアント/サーバー モード - デバイスは、クライアント/サーバー関係において、ネットワーク全体で階層的に編成されます。
-
対称アクティブ(ピア)モード:冗長性を提供するために、2つ以上のデバイスがNTPサーバーピアとして設定されます。
デフォルトでは、NTP サーバーとの時間差が 128 ミリ秒を超えるように NTP クライアントの時間がずれた場合、NTP クライアントは自動的に同期に戻ります。NTP クライアントとサーバー間のオフセットが 1000 秒のしきい値を超えた場合でも、NTP クライアントはサーバーと同期します。ルーターで set date ntp
動作コマンドを使用して、デバイスと NTP サーバーとの同期を手動で要求できます。デュアルルーティングエンジンを搭載したJunos OSを実行しているデバイスでは、バックアップルーティングエンジンがプライマリルーティングエンジンと直接同期します。
うるう秒調整をサポートしているのは、Junos OSを実行するジュニパープラットフォームすべてです。デフォルトでは、NTP サーバーがうるう秒の計算を認識している場合、Junos デバイスは自動的に 1 秒の遅延を追加します。PTP(高精度時刻同期プロトコル)は、うるう秒同期の変更を検出し、ネットワーク内のすべてのノードに反映するために使用されます。NTPは、コモンクライテリアに準拠するためにも必要です。コモン クライテリア認定の詳細については、「 Public Sector Certifications」を参照してください。
Network Time Protocolの詳細については、Network Time Foundationのウェブサイト (http://www.ntp.org)をご覧ください。
NTPは、Junos OSでIPv4 VPNおよびIPv6ルーティングおよび転送(VRF)リクエストをサポートします。VRFリクエストは、Junos OS Evolvedリリース20.2R1以降でもサポートされています。これにより、プロバイダエッジ(PE)ルーター上で実行されている NTP サーバーが、カスタマーエッジ(CE)ルーターからの NTP 要求に応答できるようになります。その結果、PE ルーターは、異なるルーティング インスタンスから送信される NTP リクエスト パケットを処理できます。
NTP のネットワーク タイム セキュリティ(NTS)のサポート
NTS の概要
NTS は、ネットワーク時刻同期に暗号化セキュリティを提供し、NTP のクライアント サーバー モードをサポートします。NTS は、トランスポート層セキュリティ(TLS)プロトコルと関連データによる認証暗号化(AEAD)を使用して、ユーザーに対して認証された方法でネットワーク時間を取得します。NTS は、NTP 拡張フィールドの暗号化もサポートします。
最も重要なセキュリティプロセスは、正確な時間に依存しています。悪意のあるソースからのネットワーク時刻同期は、深刻な結果につながります。NTSを有効にすると、デバイスで正確なネットワーク時刻同期が保証されます。
Junos OS Evolvedリリースバージョン24.2R1以降、ACXシリーズ、QFXシリーズ、PTXシリーズのデバイスでネットワークタイムプロトコル(NTP)を使用したネットワークタイムセキュリティ(NTS)のRFC 8915コンプライアンスがサポートされています。NTS は、ネットワーク時刻同期に暗号化セキュリティを提供し、NTP のクライアント/サーバー モードをサポートします。
この RFC 8915 準拠機能は、以下をサポートします。
- サーバーのローカル証明書とクライアントの証明書検証オプションの設定。
- クライアントとサーバー間の TLS チャネルを確立するための x.509 証明書の検証。
- TLS NTS-KEプロトコルのサポート。
- サーバーとクライアントでのNTSセキュアクライアント/サーバーNTP通信のサポート。
NTSの利点
- パケット操作、スプーフィング、DDOS増幅攻撃、リプレイ攻撃などの幅広いセキュリティ攻撃に対して、強力な暗号化保護を提供します
- 信頼できるソースからの正確なネットワーク時刻同期を保証
- スケーラビリティの提供:サーバーは、クライアント固有の構成を手動で事前構成しなくても、複数のクライアントにサービスを提供できます。Cookieを使用しているため、サーバーはキーやAEADアルゴリズムなどのクライアント固有のデータをローカルに保存する必要はありません
- モバイルデバイスの追跡を防止
NTSとのネットワーク時刻同期
NTS は、NTS キー確立プロトコル(NTS-KE)と、NTS 拡張フィールドを使用した NTP 時刻同期の 2 つのプロトコルで構成されています。 図 1 は、NTS での相互作用を示しています。
NTS-KEプロトコル
NTS 鍵確立プロトコル (NTS-KE) は、TLS プロトコルを使用して、サーバーの初期認証、NTS パラメーター・ネゴシエーション、および TLS を介した鍵確立を次の順序で管理します。
- クライアントは NTS-KE サーバーと TLS ハンドシェイクを実行し、証明書を正常に検証します。
-
クライアントは、TLS で保護されたチャネルを介してサーバーとの NTS パラメーターのネゴシエーションを実行します。ネゴシエートされた暗号アルゴリズムは、第 2 フェーズで NTP パケットを保護する AEAD 方式です。
-
クライアントとサーバーは、通信のキー マテリアルを正常に確立します。
-
また、サーバーは、次のフェーズで使用するために、初期 Cookie の供給をクライアントに送信します。
-
TLS チャネルが閉じ、NTP は実際の時間データの交換が行われる次のフェーズに進みます。
NTS は TLS バージョン 1.3 のみをサポートします。古い TLS バージョンは、NTS-KE プロトコル フェーズ中に拒否されます。
NTS 拡張フィールドを使用した NTP 時刻同期
このフェーズでは、NTP 時刻同期中の暗号化と認証を、NTP パケットの拡張フィールドを通じて次の順序で管理します。
-
クライアントは、NTS 拡張フィールドを使用して NTP サーバーに時刻を照会します。これらの拡張フィールドには、ネゴシエートされた AEAD アルゴリズムを使用して計算された Cookie と認証タグ、および NTS-KE ハンドシェイクから抽出されたキー マテリアルが含まれます。
NTS で保護された NTP クライアント要求には、次の NTS 拡張フィールドが含まれます。
-
一意の識別子拡張フィールド: ランダムに生成されたデータを含み、NTS レベルでのリプレイ保護の手段を提供します。
-
NTS Cookie 拡張フィールド: NTS-KE フェーズ中に確立されるキーマテリアルと、ネゴシエートされた暗号化アルゴリズムに関する情報が含まれます。Cookie は、追跡を防ぐために要求で 1 回だけ使用されます。
-
NTS Cookie プレースホルダー拡張フィールド: (オプション) クライアントが応答パケットで追加の Cookie を受信することをサーバーに伝えます。
-
NTS認証および暗号化された拡張フィールド:AEADアルゴリズムとNTS-KE中に確立されたキーを使用して生成されます。このフィールドは、NTP ヘッダーおよび以前のすべての拡張フィールドの整合性保護を提供します。
Cookieを常に更新することで、デバイスがネットワークアドレスを変更したときに追跡から保護されます。たとえば、異なるネットワーク間を移動するモバイルデバイスなどです。認識可能なデータがないため、敵対者は、異なるネットワークアドレスを介して送信された2つのパケットが同じクライアントから送信されたと判断できません。
-
-
サーバーは、クライアントから NTS で保護された要求を受信すると、マスター キーを使用して Cookie を復号化します。
-
サーバーは、ネゴシエートされた AEAD アルゴリズムと、Cookie で使用可能なキーを抽出します。サーバーはこのキーを使用して、NTP パケットの整合性をチェックし、パケットが操作されていないことを確認します。
-
サーバーは 1 つ以上の新しい Cookie を生成し、NTP 応答パケットを作成します。サーバーは、クライアントが要求パケットに追加した Cookie プレースホルダー拡張フィールドごとに、少なくとも 1 つの新しい Cookie と 1 つの追加の Cookie を生成します。
応答パケットには、次の 2 つの NTS 拡張フィールドが含まれています。
- 要求パケットの一意識別子フィールドと同じ内容を持つ一意識別子拡張フィールド。
- NTS オーセンティケータおよび暗号化された拡張フィールドは、抽出されたキーを使用して NTP ヘッダーと以前の拡張フィールドを保護します。
-
サーバーは Cookie も暗号化し、NTS 認証フィールドと暗号化された拡張フィールドに含めます。また、この手順では、攻撃者が応答メッセージから Cookie を抽出できないため、クライアントが追跡から保護されます。
-
サーバーは応答パケットをファイナライズし、パケットをクライアントに送信します。
-
クライアントは応答パケットを受信します。
-
クライアントは [一意の識別子] フィールドを確認し、一意の識別子が未処理の要求と一致することを確認します。
-
クライアントは、キーとAEADアルゴリズムを使用して、パケットの整合性チェックを正常に実行します。
-
クライアントは Cookie を復号化してプールに追加し、サーバーから受信した時刻情報を処理します。
NTP タイム サーバ
IETFは、ネットワークを介して相互に接続されたコンピューターシステムのクロックを同期するために、ネットワークタイムプロトコル(NTP)を定義しました。ほとんどの大規模なネットワークには、デバイスの場所に関係なく、すべてのデバイスの時刻を確実に同期させるNTPサーバーがあります。ネットワーク上で 1 つ以上の NTP サーバーを使用する場合は、Junos OS 構成に NTS サーバー アドレスを含めてください。
NTP を設定するときに、ネットワーク上のどのシステムが信頼できるタイム ソースまたはタイム サーバであるか、およびネットワーク上のシステム間で時刻を同期する方法を指定できます。これを行うには、ルーター、スイッチ、またはセキュリティ デバイスが以下のいずれかのモードで動作するよう設定します。
-
クライアントモード:このモードでは、ローカルルーターまたはスイッチをリモートシステムと同期することはできますが、リモートシステムをローカルルーターまたはスイッチと同期させることはできません。
-
対称アクティブモード:このモードでは、ローカルルーターまたはスイッチとリモートシステムは相互に同期できます。このモードは、ローカル・ルーターやスイッチ、あるいはリモート・システムのいずれかが適切な時刻源になる可能性があるネットワークで使用します。
対称アクティブ・モードは、ローカル・システムまたはリモート・システムのいずれかによって開始できます。そのためには、1 つのシステムを構成するだけで済みます。これは、ローカルシステムが、構成なしで対称アクティブモードを提供する任意のシステムと同期できることを意味します。ただし、ローカル システムが既知のタイム サーバーとのみ同期するように認証を構成することを強くお勧めします。
-
ブロードキャストモード-このモードでは、ローカルルーターまたはスイッチが、指定されたブロードキャストアドレスまたはマルチキャストアドレスのクライアントに定期的にブロードキャストメッセージを送信します。通常、ローカルルーターまたはスイッチがトランスミッターとして動作している場合にのみ、このステートメントを含めます。
-
サーバ モード:このモードでは、ローカル ルータまたはスイッチは NTP サーバとして動作します。
NTP サーバー モードでは、Junos OS は以下の認証をサポートします。
-
クライアントからの NTP リクエストに認証キー(パケットとともに送信されるキー ID やメッセージ ダイジェストなど)が付属している場合、要求は処理され、一致する認証キーに基づいて応答されます。
-
クライアントからの NTP 要求に認証キーがない場合、要求は認証なしで処理され、応答されます。
-
NTP タイム サーバとタイム サービスの設定
NTP を使用する場合は、ルーターまたはスイッチを次のいずれかのモードで動作するように設定します。
-
クライアント モード
-
対称アクティブモード
-
ブロードキャストモード
-
サーバー モード
次のトピックでは、これらの動作モードの構成方法について説明します。
- ルーターまたはスイッチをクライアントモードで動作するように設定する
- ルーターまたはスイッチを対称アクティブモードで動作するように設定する
- ルーターまたはスイッチがブロードキャスト モードで動作するように構成する
- ルーターまたはスイッチをサーバー モードで動作させるように構成する
ルーターまたはスイッチをクライアントモードで動作するように設定する
ローカル ルーターまたはスイッチがクライアント モードで動作するように設定するには、[edit system ntp]
階層レベルで server
ステートメントとその他のオプションのステートメントを含めます。
[edit system ntp] server address <key key-number> <version value> <prefer>; authentication-key key-number type type value password; trusted-key[key-numbers];
タイム・サーバーとして機能するシステムのアドレスを指定してください。ホスト名ではなく、アドレスを指定する必要があります。
タイム サーバーに送信されるすべてのメッセージに認証キーを含めるには、 キー オプションを含めます。キーは、「」で説明されているように、 authentication-key
ステートメントで指定したキー番号に対応します。
デフォルトでは、ルーターまたはスイッチは NTP バージョン 4 パケットをタイム サーバーに送信します。NTP バージョン レベルを 1、2、または 3 に設定するには、 バージョン オプションを含めます。
複数のタイム サーバーを構成する場合は、 prefer オプションを含めることで、1 つのサーバーを優先としてマークできます。
次に、ルーターまたはスイッチをクライアント モードで動作するように設定する例を示します。
[edit system ntp] authentication-key 1 type md5 value "$ABC123"; server 10.1.1.1 key 1 prefer; trusted-key 1;
ルーターまたはスイッチを対称アクティブモードで動作するように設定する
ローカル ルーターまたはスイッチが対称アクティブ モードで動作するように設定するには、[edit system ntp]
階層レベルに peer
ステートメントを含めます。
[edit system ntp] peer address <key key-number> <version value> <prefer>;
リモート・システムのアドレスを指定してください。ホスト名ではなく、アドレスを指定する必要があります。
リモート・システムに送信されるすべてのメッセージに認証鍵を含めるには、 key オプションを含めます。キーは、 authentication-key
ステートメントで指定したキー番号に対応します。
デフォルトでは、ルーターまたはスイッチは NTP バージョン 4 パケットをリモート システムに送信します。NTP バージョン レベルを 1、2、または 3 に設定するには、 バージョン オプションを含めます。
複数のリモートシステムを設定する場合、 prefer オプションを含めることで、1つのシステムを優先としてマークすることができます。
peer address <key key-number> <version value> prefer;
ルーターまたはスイッチがブロードキャスト モードで動作するように構成する
ローカル ルーターまたはスイッチがブロードキャスト モードで動作するように設定するには、[edit system ntp]
階層レベルに broadcast
ステートメントを含めます。
[edit system ntp] broadcast address <key key-number> <version value> <ttl value>;
ローカルネットワークの1つにあるブロードキャストアドレス、またはNTPに割り当てられたマルチキャストアドレスを指定します。ホスト名ではなく、アドレスを指定する必要があります。マルチキャストアドレスを使用する場合は、224.0.1.1である必要があります。マルチキャストプロトコルPIMとIGMPは、デバイスがマルチキャストアドレス224.0.1.1でNTPパケットを送信しやすくするために、NTPクライアント向けのインターフェイスで有効にする必要があります。これを行うには、次のコマンドを実行します。
set protocols igmp interface <interface_name> static group 224.0.1.1 set protocols pim rp local address <interface_ip> set protocols pim interface <interface_name> mode sparse-dense
マルチキャスト経由の NTP は、デバイスのルーティング インスタンス内ではサポートされていません。
リモート・システムに送信されるすべてのメッセージに認証鍵を含めるには、key オプションを含めます。キーは、 authentication-key
ステートメントで指定したキー番号に対応します。
デフォルトでは、ルーターまたはスイッチは NTP バージョン 4 パケットをリモート システムに送信します。NTP バージョン レベルを 1、2、または 3 に設定するには、バージョン オプションを含めます。
ルーターまたはスイッチをサーバー モードで動作させるように構成する
サーバー モードでは、クライアントが適切に設定されている場合、ルーターまたはスイッチはクライアントの NTP サーバーとして機能します。「 サーバーモード」の唯一の前提条件は、ルーターまたはスイッチが別のNTPピアまたはサーバーから時刻を受信していることです。ルーターやスイッチに他の設定は必要ありません。
管理 VRF(mgmt_junos
)で NTP サービスを設定する場合、デフォルト ルーティング インスタンス内の物理インターフェイスまたは論理インターフェイスに少なくとも 1 つの IP アドレスを設定し、NTP サービスがmgmt_junos VRF と連携するためには、このインターフェイスが稼働していることを確認する必要があります。
ローカルルーターまたはスイッチをNTPサーバーとして動作するように設定するには、 [edit system ntp]
階層レベルで以下のステートメントを含めます。
[edit system ntp] authentication-key key-number type type value password; server address <key key-number> <version value> <prefer>; trusted-key [key-numbers];
タイム・サーバーとして機能するシステムのアドレスを指定してください。ホスト名ではなく、アドレスを指定する必要があります。
タイム サーバーに送信されるすべてのメッセージに認証キーを含めるには、 キー オプションを含めます。キーは、 authentication-key
ステートメントで指定したキー番号に対応します。
デフォルトでは、ルーターまたはスイッチは NTP バージョン 4 パケットをタイム サーバーに送信します。NTP バージョン レベルを 1、2、または 3 に設定するには、 バージョン オプションを含めます。
複数のタイム サーバーを構成する場合は、 prefer オプションを含めることで、1 つのサーバーを優先としてマークできます。
次に、ルーターまたはスイッチをサーバー モードで動作するように設定する例を示します。
[edit system ntp] authentication-key 1 type md5 value "$ABC123"; server 192.168.27.46 prefer; trusted-key 1;
[edit system ntp] nts { local-certificate <certificate-id of local certificate>; trusted-ca (trusted-ca-group <trusted ca-group name> | trusted-ca-profile <ca-profile name>); } [edit system ntp server <server>] nts remote-identity { hostname <FQDN of server>; distinguished-name (container <container-string> | wildcard <wild-card string>); }
関連項目
例:ルーターとスイッチ クロック同期の単一タイム ソースとしての NTP の設定
すべてのルーターまたはスイッチのログファイルのタイムスタンプが同期されていると、ネットワークにまたがるイベントが複数のログの同期エントリと相関できるため、デバッグとトラブルシューティングがはるかに簡単になります。ネットワーク タイム プロトコル (NTP) を使用して、ルーター、スイッチ、およびその他のネットワーク機器のシステム クロックを同期することを強くお勧めします。
デフォルトでは、NTPはまったく認証されていない方法で動作します。ルーターやスイッチのクロック精度に影響を与えようとする悪意のある試みが成功した場合、システム ログに悪影響を及ぼし、トラブルシューティングや侵入検知をより困難にし、他の管理機能に支障をきたす可能性があります。
次の構成例では、ネットワーク内のすべてのルーターまたはスイッチを単一のタイム ソースに同期させます。認証を使用して、NTP ピアが信頼されていることを確認することをお勧めします。 boot-server
ステートメントは、ルーターの起動時に初期日時を取得するサーバーを識別します。 server
ステートメントは、定期的な時刻同期に使用される NTP サーバーを識別します。 source-address
ステートメントでは、ルーティング インスタンスごとにファミリーごとに 1 つの送信元アドレスを指定できます。 authentication-key
ステートメントは、HMAC-Message Digest 5(MD5)スキームを使用して認証のキー値をハッシュする必要があることを指定します。これにより、ルーターまたはスイッチがタイム サーバーを装った攻撃者のホストと同期できなくなります。
[edit] system { ntp { authentication-key 2 type md5 value "$ABC123"; # SECRET-DATA boot-server 10.1.4.1; server 10.1.4.2 key 2; source-address 10.1.4.3 routing-instance ntp-instance; trusted key 2; } }
NTP を使用した時間分布の同期と調整
NTP を使用して大規模なネットワークで時間分布を同期および調整するには、次のタスクが含まれます。
NTPを設定する
-
スイッチに NTP を設定するには、
[edit system]
階層レベルでntp
ステートメントを含めます。[edit system] ntp { authentication-key number type type value password; boot-server (address | hostname); broadcast <address> <key key-number> <version value> <ttl value>; broadcast-client; multicast-client <address>; peer address <key key-number> <version value> <prefer>; server address <key key-number> <version value> <prefer>; ntp source-address routing-instance routing-instance-name; trusted-key [ key-numbers ]; }
NTP ブート サーバーの設定
スイッチを起動すると、 ntpdate リクエストが発行され、ネットワーク サーバにポーリングしてローカルの日付と時刻が特定されます。スイッチが起動する時間を決定するためにスイッチが使用するサーバーを設定する必要があります。そうしないと、サーバーの時刻がローカル スイッチの時刻から非常に離れているように見える場合、NTP はタイム サーバに同期できません。
-
NTP ブート サーバーを設定するには、
[edit system ntp]
階層レベルでboot-server
ステートメントを含めます。[edit system ntp] boot-server (address | hostname);
boot-server
オプションは、Junos OSリリース20.4R1以降で非推奨になりました。
-
Junos OS リリース 15.1 以降では、NTP ブート サーバーを設定するには、
[edit system ntp]
階層レベルでset ntp server
ステートメントを含めます。[edit system ntp] set server (address | hostname);
ネットワークサーバーの IP アドレスまたはホスト名を指定します。
NTP サーバーの送信元アドレスを指定する
IP バージョン 4(IPv4)では、 [edit system ntp]
階層レベルで設定された NTP サーバーがループバック インターフェイス アドレスの 1 つで接続される場合、応答では常に特定の送信元アドレスを使用するように指定できます。これは、NTP がネットワークからの NTP クライアント要求に応答するとき、またはそれ自体がネットワークに NTP 要求を送信するときに、ネットワークへのアクセスに使用する送信元アドレスを制御するのに役立ちます。
応答が常に使用する特定の送信元アドレスと、NTP サーバによって開始された要求が使用する送信元アドレスを設定するには、[edit system ntp]
階層レベルで source-address
ステートメントを含めます。source-addressは、ルーターまたはスイッチ インターフェイスの 1 つで設定された有効な IP アドレスです。
[edit system ntp] user@host#set source-address source-address
例えば:
[edit system ntp] user@host# set source-address 10.1.4.3
Junos OSリリース13.3およびJunos OS Evolvedリリース20.2R1以降、[edit system ntp source-address source-address]
階層レベルで routing-instance
ステートメントを使用して送信元アドレスを設定できます。
その結果、 ntp-source-test ルーティングインスタンス内の任意のインターフェイスを介して NTP メッセージを送信する際に、送信元アドレス 12.12.12.12 が使用されます。
routing-instance
ステートメントはオプションであり、設定されていない場合はインターフェイスのプライマリ アドレスが使用されます。
ルーティングインスタンスごとに、ファミリーごとに1つのソースアドレスを指定します。
[edit system ntp] user@host# set source-address source-address routing-instance routing-instance-name
例えば:
[edit system ntp] user@host# set source-address 10.1.4.3 routing-instance ntp-instance
管理 VRF(mgmt_junos
)で NTP サービスを設定する場合、デフォルト ルーティング インスタンス内の物理インターフェイスまたは論理インターフェイスに少なくとも 1 つの IP アドレスを設定し、NTP サービスがmgmt_junos VRF と連携するためには、このインターフェイスが稼働していることを確認する必要があります。
ファイアウォールフィルターがループバックインターフェイスに適用される場合、[edit system ntp]
階層レベルでNTPサーバーに指定されたsource-address
が、ファイアウォールフィルターの一致条件の1つとして明示的に含まれていることを確認してください。これにより、Junos OSは、指定された送信元アドレスからのトラフィックをループバックインターフェイスで受け入れることができます。
以下の例は、[edit firewall filter firewall-filter-name]
階層に含まれる from
ステートメントで指定された送信元アドレス10.1.4.3
を使用したファイアウォールフィルターを示しています。
[edit firewall filter Loopback-Interface-Firewall-Filter] term Allow-NTP { from { source-address { 172.17.27.46/32; // IP address of the NTP server 10.1.4.3/32 routing-instance ntp-instance; // Source address specified for the NTP server } then accept; } }
NTP サーバーに source-address
ステートメントが設定されていない場合は、ファイアウォール フィルターにループバック インターフェイスのプライマリ アドレスを含めます。
NTP の設定
ネットワークタイムプロトコル(NTP)は、大規模で多様なネットワークで時間を同期し、時間分布を調整するメカニズムを提供します。すべてのルーターまたはスイッチのログファイルのタイムスタンプが同期されていると、ネットワークにまたがるイベントが複数のログの同期エントリと相関できるため、デバッグとトラブルシューティングがはるかに簡単になります。ネットワーク タイム プロトコル(NTP)を使用して、ルーター、スイッチ、およびその他のネットワーク機器のシステム クロックを同期することを推奨します。
NTPを設定するには、次の手順に従います。
例:NTP の設定
ネットワークタイムプロトコル(NTP)は、大規模で多様なネットワークで時間を同期し、時間分布を調整するメカニズムを提供します。NTPは、自己組織化された階層的なプライマリセカンダリ構成で動作するタイムサーバの分散サブネットが、サブネット内のローカルクロックを有線または無線によって国の標準時間に同期させる、リターナブルタイム設計を採用しています。サーバーは、ローカルルーティングアルゴリズムとタイムデーモンを使用して、参照時間を再配布することもできます。
次に、NTP を設定する例を示します。
必要条件
この例では、以下のソフトウェアおよびハードウェアコンポーネントを使用しています:
-
Junos OS リリース 11.1 以降
-
NTP ブート サーバーと NTP サーバーが存在するネットワークに接続されたスイッチ
概要
ネットワークにまたがるイベントが複数のログの同期エントリと相関できるため、すべてのスイッチのログファイルのタイムスタンプが同期されると、デバッグとトラブルシューティングがはるかに簡単になります。ネットワークタイムプロトコル(NTP)を使用して、スイッチとその他のネットワーク機器のシステムクロックを同期することを推奨します。
この例では、管理者がスイッチ内の時刻を単一のタイム ソースに同期したいと考えています。認証を使用して、NTP ピアが信頼されていることを確認することをお勧めします。 boot-server
ステートメントは、スイッチの起動時に初期時刻と日付を取得するサーバーを識別します。 server
ステートメントは、定期的な時刻同期に使用される NTP サーバーを識別します。 authentication-key
ステートメントは、HMAC-Message Digest 5(MD5)スキームを使用して認証のキー値をハッシュし、タイム サーバーを装った攻撃者のホストとスイッチが同期するのを防ぐことを指定します。
構成
NTPを設定するには、次の手順に従います。
プロシージャ
CLIクイック構成
NTPを迅速に設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit system] set ntp boot-server 10.1.4.1 set ntp server 10.1.4.2 set ntp authentication-key 2 type md5 value "$ABC123"
手順
NTPを設定するには:
-
ブートサーバーを指定します。
[edit system] user@host# set ntp boot-server 10.1.4.1
-
NTP サーバーを指定します。
[edit system] user@host# set ntp server 10.1.4.2
-
ルーティングインスタンスごとに、ファミリーごとに1つのソースアドレスを指定します。
[edit system] user@host# set system ntp source-address 10.10.4.3 routing-instance ntp-instance
-
キー番号、認証タイプ(MD5)、および認証用キーを指定します。
[edit system] user@host# set ntp authentication-key 2 type md5 value "$ABC123"
業績
結果を確認します。
[edit system] user@host# show ntp { boot-server 10.1.4.1; authentication-key 2 type md5 value "$ABC123"; ## SECRET-DATA server 10.1.4.2; source-address 10.10.4.3 routing-instance ntp-instance; }
検証
構成が正しいことを確認するために、以下のタスクを実行します。
時刻の確認
目的
スイッチに設定されている時刻を確認します。
アクション
show system uptime
動作モード コマンドを入力して、時刻を表示します。
user@host> show system uptime fpc0: -------------------------------------------------------------------------- Current time: 2009-06-12 12:49:03 PDT System booted: 2009-05-15 06:24:43 PDT (4w0d 06:24 ago) Protocols started: 2009-05-15 06:27:08 PDT (4w0d 06:21 ago) Last configured: 2009-05-27 14:57:03 PDT (2w1d 21:52 ago) by admin1 12:49PM up 28 days, 6:24, 1 user, load averages: 0.05, 0.06, 0.01
意味
出力は、現在の日付と時刻が 2009 年 6 月 12 日および 12:49:03 PDT であることを示しています。スイッチは 4 週間 6 時間 24 分前に起動し、プロトコルは起動の約 3 分前に起動されました。スイッチは、2009 年 5 月 27 日にユーザー admin1 によって最後に設定され、現在 1 人のユーザーがスイッチにログインしています。
また、出力は、負荷平均が最後の 1 分間で 0.05 秒、最後の 5 分間で 0.06 秒、過去 15 分間で 0.01 秒であることも示しています。
NTP ピアの表示
目的
時刻が NTP サーバーから取得されていることを確認します。
アクション
show ntp associations
動作モード コマンドを入力して、スイッチから取得した時刻を NTP サーバに表示します。
user@host> show ntp associations remote refid st t when poll reach delay offset jitter ============================================================================== *ntp.net .GPS. 1 u 414 1024 377 3.435 4.002 0.765
意味
NTP サーバー名またはピアの前にあるアスタリスク (*) は、時刻がこのサーバーから同期され、取得されることを示します。遅延、オフセット、ジッターはミリ秒単位で表示されます。
NTP ステータスの表示
目的
NTP サーバの設定とシステムのステータスを表示します。
アクション
show ntp status
動作モード コマンドを入力して、NTP のステータスを表示します。
user@host> show ntp status status=0644 leap_none, sync_ntp, 4 events, event_peer/strat_chg, version="ntpd 4.2.0-a Mon Apr 13 19:09:05 UTC 2009 (1)", processor="powerpc", system="JUNOS9.5R1.8", leap=00, stratum=2, precision=-18, rootdelay=2.805, rootdispersion=42.018, peer=48172, refid=192.168.28.5, reftime=cddd397a.60e6d7bf Fri, Jun 12 2009 13:30:50.378, poll=10, clock=cddd3b1b.ec5a2bb4 Fri, Jun 12 2009 13:37:47.923, state=4, offset=3.706, frequency=-23.018, jitter=1.818, stability=0.303
意味
出力には、スイッチと NTP に関するステータス情報が表示されます。
NTP 認証キー
時刻同期を認証して、スイッチがそのタイム サービスを既知の送信元からのみ取得するようにすることができます。既定では、ネットワーク時刻の同期は認証されません。スイッチは、最も正確な時刻を持っていると思われるシステムに同期します。ネットワーク タイム サービスの認証を構成することを強くお勧めします。
他のタイム サーバーを認証するには、[edit system ntp]
階層レベルに trusted-key
ステートメントを含めます。信頼できるキーとは、安全なクロック同期のために NTP によって信頼され、使用される設定済みのキーを指します。trusted-key
で参照されていない設定済みのキーは修飾されず、NTP によって拒否されます。指定された鍵番号の 1 つを含むネットワーク時刻パケットを送信するタイム・サーバーのみが同期の対象となります。さらに、キーは、そのキー番号に設定された値と一致する必要があります。他のシステムは、認証されなくてもローカルスイッチと同期できます。
[edit system ntp] trusted-key[ key-numbers ];
各キーには、0 を除く任意の 32 ビット符号なし整数を指定できます。パケットの送信時に指定された認証キーを送信するために、peer、server、または broadcast
ステートメントに key オプションを含めます。この鍵は、リモート・システムでローカル・システムと同期できるように認証が有効になっている場合に必要です。
認証キーを定義するには、[edit system ntp]
階層レベルで authentication-key
ステートメントを含めます。
[edit system ntp] authentication-key key-number type type value password;
number は鍵番号、 type は認証タイプ (Message Digest 5 [MD5]、SHA1、および SHA256 のみがサポートされます)、 password はこの鍵のパスワードです。鍵番号、タイプ、およびパスワードは、認証にその特定の鍵を使用するすべてのシステムで一致しなければなりません。パスワードには、ネットワーク タイム プロトコル(NTP)認証キーを設定するためのスペースがあってはなりません。
EX4300、EX4600、およびQFX5100(BSD6を実行するEXおよびQFXモデル)などの関連する非MPデバイスは、NTPのMD5認証のみをサポートし、SHA-1およびSHA-256認証タイプをサポートしていません。
NTP を使用してブロードキャスト メッセージをリッスンするデバイスの設定
NTP を使用している場合、[edit system ntp]
階層レベルに broadcast-client
ステートメントを含めることで、ローカル ネットワーク上のブロードキャスト メッセージをリッスンして同じサブネット上の他のサーバーを検出するようにローカル ルーターまたはスイッチを構成できます。
[edit system ntp] broadcast-client;
ルーターまたはスイッチがブロードキャストメッセージを初めて検出すると、リモートサーバーとの短いクライアント/サーバー交換を使用して、公称ネットワーク遅延を測定します。その後、 ブロードキャストクライアント モードに入り、後続のブロードキャストメッセージをリッスンして同期します。
このモードでの偶発的または悪意のある中断を回避するには、ローカルシステムとリモートシステムの両方で、認証と同じトラステッドキーとキー識別子を使用する必要があります。
NTP を使用してマルチキャスト メッセージをリッスンするデバイスの設定
NTP を使用している場合、[edit system ntp]
階層レベルに multicast-client
ステートメントを含めることで、ローカル ネットワーク上のマルチキャスト メッセージをリッスンして、同じサブネット上の他のサーバーを検出するようにローカル ルーターまたはスイッチを構成できます。
[edit system ntp] user@host# set multicast-client address
ルーターまたはスイッチが初めてマルチキャストメッセージを受信すると、リモートサーバーとの短いクライアント/サーバー交換を使用して公称ネットワーク遅延を測定します。その後、 マルチキャストクライアント モードに入り、後続のマルチキャストメッセージをリッスンして同期します。
1 つ以上の IP アドレスを指定できます。(ホスト名ではなく、アドレスを指定する必要があります。)設定すると、ルーターまたはスイッチがそれらのマルチキャスト グループに参加します。アドレスを指定しない場合、ソフトウェアは 224.0.1.1
を使用します。
このモードでの偶発的または悪意のある中断を回避するには、ローカルシステムとリモートシステムの両方で、認証と同じトラステッドキーとキー識別子を使用する必要があります。