NTP 시간 서버
IETF는 네트워크를 통해 서로 연결된 컴퓨터 시스템의 클럭을 동기화하기 위해 NTP(Network Time Protocol)를 정의했습니다. 대부분의 대규모 네트워크에는 디바이스 위치에 관계없이 모든 디바이스의 시간이 동기화되도록 보장하는 NTP 서버가 있습니다. 네트워크에서 하나 이상의 NTP 서버를 사용하는 경우 Junos OS 구성에 NTS 서버 주소를 포함해야 합니다.
NTP를 구성할 때, 네트워크의 어떤 시스템이 신뢰할 수 있는 시간 소스 또는 시간 서버인지와 네트워크의 시스템 간에 시간이 동기화되는 방법을 지정할 수 있습니다. 이렇게 하려면 라우터, 스위치 또는 보안 디바이스가 다음 모드 중 하나에서 작동하도록 구성합니다.
-
클라이언트 모드 - 이 모드에서는 로컬 라우터 또는 스위치를 원격 시스템과 동기화할 수 있지만 원격 시스템은 로컬 라우터 또는 스위치와 동기화할 수 없습니다.
-
대칭 활성 모드 - 이 모드에서는 로컬 라우터 또는 스위치와 원격 시스템이 서로 동기화할 수 있습니다. 로컬 라우터나 스위치 또는 원격 시스템이 더 나은 시간 소스가 될 수 있는 네트워크에서 이 모드를 사용합니다.
대칭 활성 모드는 로컬 또는 원격 시스템에서 시작할 수 있습니다. 이를 위해 하나의 시스템만 구성하면 됩니다. 즉, 로컬 시스템은 어떠한 구성도 없이 대칭 활성 모드를 제공하는 모든 시스템과 동기화할 수 있습니다. 그러나 로컬 시스템이 알려진 시간 서버와만 동기화되도록 인증을 구성하는 것이 좋습니다.
-
브로드캐스트 모드 - 이 모드에서 로컬 라우터 또는 스위치는 지정된 브로드캐스트 또는 멀티캐스트 주소의 클라이언트 모집단에 주기적인 브로드캐스트 메시지를 보냅니다. 일반적으로 로컬 라우터 또는 스위치가 송신기로 작동 중일 때만 이 문을 포함합니다.
-
서버 모드 - 이 모드에서는 로컬 라우터 또는 스위치가 NTP 서버로 작동합니다.
NTP 서버 모드에서 Junos OS는 다음과 같이 인증을 지원합니다.
-
클라이언트의 NTP 요청이 인증 키(예: 패킷과 함께 전송된 키 ID 및 메시지 다이제스트)와 함께 제공되는 경우, 요청은 인증 키 일치에 따라 처리되고 응답됩니다.
-
클라이언트의 NTP 요청이 인증 키 없이 오면 요청은 인증 없이 처리되고 응답됩니다.
참고:시간 정확도, 장애 허용 능력 및 후보 선택을 개선하기 위해 최소 3개에서 최대 5개의 안정적인 NTP 서버를 구성하는 것이 좋습니다. 보안을 강화하려면 인증(공유 키 또는 NTS 사용)을 사용하도록 설정하여 신뢰할 수 있고 확인된 소스에서만 시간 동기화가 이루어지도록 합니다.
-
NTP 시간 서버 및 시간 서비스 구성
NTP를 사용할 때, 라우터 또는 스위치가 다음 모드 중 하나에서 작동하도록 구성합니다.
-
클라이언트 모드
-
대칭 활성 모드
-
브로드캐스트 모드
-
서버 모드
- 클라이언트 모드에서 작동하도록 라우터 또는 스위치를 구성합니다
- 대칭 활성 모드에서 작동하도록 라우터 또는 스위치를 구성합니다
- 브로드캐스트 모드에서 작동하도록 라우터 또는 스위치를 구성합니다
- 서버 모드에서 작동하도록 라우터 또는 스위치를 구성합니다
클라이언트 모드에서 작동하도록 라우터 또는 스위치를 구성합니다
클라이언트 모드에서 작동하도록 로컬 라우터 또는 스위치를 구성하려면 계층 수준에서 [edit system ntp] 문과 기타 선택적 문을 포함 server 합니다.
[edit system ntp] server address <key key-number> <version value> <prefer>; authentication-key key-number type type value password; trusted-key[key-numbers];
타임서버 역할을 하는 시스템의 주소를 지정합니다. 호스트 이름이 아닌 주소를 지정해야 합니다.
타임서버로 전송되는 모든 메시지에 인증 키를 포함하려면, 키 옵션을 포함합니다. 키는 에 설명된 대로 문에서 authentication-key 지정한 키 번호에 해당합니다.
기본적으로 라우터 또는 스위치는 NTP 버전 4 패킷을 타임서버로 보냅니다. NTP 버전 수준을 1, 2 또는 3으로 설정하려면 version 옵션을 포함합니다.
둘 이상의 타임 서버를 구성하는 경우 선호 옵션을 포함하여 하나의 서버를 선호로 표시할 수 있습니다.
다음 예는 클라이언트 모드에서 작동하도록 라우터 또는 스위치를 구성하는 방법을 보여줍니다.
[edit system ntp] authentication-key 1 type md5 value "$ABC123"; server 10.1.1.1 key 1 prefer; trusted-key 1;
대칭 활성 모드에서 작동하도록 라우터 또는 스위치를 구성합니다
로컬 라우터 또는 스위치가 대칭 활성 모드에서 작동하도록 구성하려면 계층 수준에서 다음 문을 포함 peer 합니다.[edit system ntp]
[edit system ntp] peer address <key key-number> <version value> <prefer>;
원격 시스템의 주소를 지정합니다. 호스트 이름이 아닌 주소를 지정해야 합니다.
원격 시스템으로 전송되는 모든 메시지에 인증 키를 포함하려면, 키 옵션을 포함합니다. 키는 문에서 지정한 키 번호에 해당합니다.authentication-key
기본적으로 라우터 또는 스위치는 NTP 버전 4 패킷을 원격 시스템으로 보냅니다. NTP 버전 수준을 1, 2 또는 3으로 설정하려면 버전 옵션을 포함합니다.
둘 이상의 원격 시스템을 구성하는 경우 선호 옵션을 포함하여 하나의 시스템을 선호로 표시할 수 있습니다.
peer address <key key-number> <version value> prefer;
브로드캐스트 모드에서 작동하도록 라우터 또는 스위치를 구성합니다
브로드캐스트 모드에서 작동하도록 디바이스를 구성하려면 아래 단계를 따르십시오.
(선택 사항) 원격 시스템으로 전송되는 모든 메시지에 인증 키를 포함하려면, 키 옵션을 설정하십시오. 키는 문에서 지정한 키 번호에 해당합니다.
authentication-keyset system ntp authentication-key 1 type md5 set system ntp authentication-key 1 value ”$ABC123” set system ntp trusted-key 1
디바이스에서 NTP 서버 주소를 구성합니다.
set system ntp server IP address
IPv4 또는 IPv6 멀티캐스트를 사용하여 시간 업데이트를 보급하도록 디바이스를 구성합니다.
디바이스가 브로드캐스트 모드에서 작동하려면 디바이스에서 멀티캐스트를 활성화해야 합니다. 로컬 네트워크 중 하나에서 브로드캐스트 주소 또는 NTP에 할당된 멀티캐스트 주소를 지정합니다. 호스트 이름은 허용되지 않습니다. 멀티캐스트 주소를 사용하는 경우 IPv4의 경우 224.0.1.1, IPv6의 경우 ff05::101이어야 합니다.
set system ntp broadcast ff05::101 key 1
(선택 사항) 기본적으로 디바이스는 NTP 버전 4 패킷을 원격 시스템으로 보냅니다. NTP 버전 수준을 1, 2 또는 3으로 설정하려면 version 옵션을 포함합니다.
set system ntp broadcast ff05::101 version 4
NTP 패킷에 특정 소스 주소를 사용하도록 디바이스를 구성합니다.
set system ntp source-address IP address
디바이스가 멀티캐스트 주소(224.0.1.1 또는 ff05::101)를 통해 NTP 패킷을 전송할 수 있도록 모든 NTP 클라이언트 대면 인터페이스에서 멀티캐스트 프로토콜 PIM을 활성화합니다.
set protocols pim rp local address <interface_ip> set protocols pim interface <interface_name> mode sparse-dense
IPv4 주소(224.0.1.1)의 경우, NTP 클라이언트 대면 인터페이스에서 IGMP를 활성화해야 합니다.
set protocols igmp interface <interface_name> static group 224.0.1.1
IPv6 주소(ff05::101)의 경우, 서브 인터페이스를 마주하는 각 NTP 클라이언트에서 MLD(멀티캐스트 리스너 검색)를 활성화하여 멀티캐스트 그룹 ff05::101에 합류시킵니다.
set protocols mld interface xe-0/0/11:0.1200 static group ff05::101 set protocols mld interface xe-0/0/11:0.1400 static group ff05::101 set protocols mld interface xe-0/0/11:0.2100 static group ff05::101
-
명령을 사용하여
set system ntp broadcast address <routing-instance-name routing-instance-name>NTP를 구성할 때 지정된 라우팅 인스턴스는 L3 라우팅 인스턴스여야 합니다. NTP는 EVPN 및 VPLS와 같은 L2 라우팅 인스턴스를 지원하지 않으므로 NTP 구성에 지정해서는 안 됩니다. -
멀티캐스트를 통한 NTP는 디바이스의 라우팅 인스턴스 내에서 지원되지 않습니다.
서버 모드에서 작동하도록 라우터 또는 스위치를 구성합니다
서버 모드에서 클라이언트가 적절하게 구성되면 라우터 또는 스위치가 클라이언트의 NTP 서버 역할을 합니다. "서버 모드"의 유일한 전제 조건은 라우터 또는 스위치가 다른 NTP 피어 또는 서버로부터 시간을 수신해야 한다는 것입니다. 라우터나 스위치에서 다른 구성은 필요하지 않습니다.
관리 VRF(mgmt_junos)에서 NTP 서비스를 구성할 때 기본 라우팅 인스턴스 내의 물리적 또는 논리적 인터페이스에 적어도 하나의 IP 주소를 구성하고 NTP 서비스가 mgmt_junos VRF에서 작동하려면 이 인터페이스가 작동 중인지 확인해야 합니다.
로컬 라우터 또는 스위치가 NTP 서버로 작동하도록 구성하려면 계층 수준에서 [edit system ntp] 다음 문을 포함합니다.
[edit system ntp] authentication-key key-number type type value password; server address <key key-number> <version value> <prefer>; trusted-key [key-numbers];
타임서버 역할을 하는 시스템의 주소를 지정합니다. 호스트 이름이 아닌 주소를 지정해야 합니다.
타임서버로 전송되는 모든 메시지에 인증 키를 포함하려면, 키 옵션을 포함합니다. 키는 문에서 지정한 키 번호에 해당합니다.authentication-key
기본적으로 라우터 또는 스위치는 NTP 버전 4 패킷을 타임서버로 보냅니다. NTP 버전 수준을 1, 2 또는 3으로 설정하려면 버전 옵션을 포함합니다.
둘 이상의 타임 서버를 구성하는 경우 선호 옵션을 포함하여 하나의 서버를 선호로 표시할 수 있습니다.
다음 예는 서버 모드에서 작동하도록 라우터 또는 스위치를 구성하는 방법을 보여줍니다.
[edit system ntp] authentication-key 1 type md5 value "$ABC123"; server 192.168.27.46 prefer; trusted-key 1;
Junos OS Evolved 릴리스 24.2R1부터는 NTS 기능을 구성하기 위해 다음 옵션이 추가되었습니다.
[edit system ntp]
nts
{
local-certificate <certificate-id of local certificate>;
trusted-ca (trusted-ca-group <trusted ca-group name> | trusted-ca-profile <ca-profile name>);
}
[edit system ntp server <server>]
nts remote-identity
{
hostname <FQDN of server>;
distinguished-name (container <container-string> | wildcard <wild-card string>);
}