Servidores de tiempo NTP
El GTI-I definió el protocolo de tiempo de red (NTP) para sincronizar los relojes de los sistemas informáticos conectados entre sí a través de una red. La mayoría de las redes grandes tienen un servidor NTP que garantiza que la hora en todos los dispositivos esté sincronizada, independientemente de la ubicación del dispositivo. Si utiliza uno o varios servidores NTP en la red, asegúrese de incluir las direcciones del servidor NTS en la configuración de Junos OS.
Al configurar el NTP, puede especificar qué sistema de la red es el origen de hora autorizado o el servidor de hora, y cómo se sincroniza la hora entre los sistemas de la red. Para ello, configure el enrutador, conmutador o dispositivo de seguridad para que funcione en uno de los siguientes modos:
-
Modo cliente: en este modo, el enrutador o conmutador local se puede sincronizar con el sistema remoto, pero el sistema remoto nunca se puede sincronizar con el enrutador o conmutador local.
-
Modo activo simétrico: en este modo, el enrutador o conmutador local y el sistema remoto pueden sincronizarse entre sí. Utilice este modo en una red en la que el enrutador o conmutador local o el sistema remoto pueden ser una mejor fuente de tiempo.
El modo activo simétrico puede ser iniciado por el sistema local o remoto. Solo se necesita configurar un sistema para hacerlo. Esto significa que el sistema local puede sincronizarse con cualquier sistema que ofrezca el modo activo simétrico sin ningún tipo de configuración. Sin embargo, le recomendamos encarecidamente que configure la autenticación para asegurarse de que el sistema local solo se sincronice con servidores de hora conocidos.
-
Modo de difusión: en este modo, el enrutador o conmutador local envía mensajes de difusión periódicos a una población de clientes en la dirección de multidifusión o difusión especificada. Normalmente, esta instrucción se incluye únicamente cuando el conmutador o enrutador local funciona como transmisor.
-
Modo de servidor: en este modo, el conmutador o enrutador local funciona como un servidor NTP.
En el modo de servidor NTP, Junos OS admite la autenticación de la siguiente manera:
-
Si la solicitud NTP del cliente viene con una clave de autenticación (como un ID de clave y un resumen del mensaje enviado con el paquete), la solicitud se procesa y responde en función de la coincidencia de la clave de autenticación.
-
Si la solicitud NTP del cliente viene sin ninguna clave de autenticación, la solicitud se procesa y responde sin autenticación.
Nota:Recomendamos configurar al menos 3 y hasta 5 servidores NTP confiables para mejorar la precisión del tiempo, la tolerancia a errores y la selección de candidatos. Para mayor seguridad, habilite la autenticación (mediante claves compartidas o NTS) para garantizar que la sincronización de hora solo se produzca con fuentes confiables y verificadas.
-
Configurar NTP Time Server y servicios de tiempo
Cuando utilice NTP, configure el enrutador o conmutador para que funcione en uno de los siguientes modos:
-
Modo cliente
-
Modo activo simétrico
-
Modo de difusión
-
Modo de servidor
- Configure el enrutador o conmutador para que funcione en modo cliente
- Configure el enrutador o conmutador para que funcione en modo activo simétrico
- Configure el enrutador o conmutador para que funcione en modo de difusión
- Configure el enrutador o conmutador para que funcione en modo de servidor
Configure el enrutador o conmutador para que funcione en modo cliente
Para configurar el enrutador o conmutador local para que funcione en modo cliente, incluya la server instrucción y otras instrucciones opcionales en el nivel jerárquico [edit system ntp] :
[edit system ntp] server address <key key-number> <version value> <prefer>; authentication-key key-number type type value password; trusted-key[key-numbers];
Especifique la dirección del sistema que actúa como servidor de hora. Debe especificar una dirección, no un nombre de host.
Para incluir una clave de autenticación en todos los mensajes enviados al servidor de tiempo, incluya la opción clave . La clave corresponde al número de clave especificado en la authentication-key instrucción, como se describe en .
De forma predeterminada, el enrutador o conmutador envía paquetes NTP versión 4 al servidor de hora. Para establecer el nivel de versión NTP en 1, 2 o 3, incluya la opción versión .
Si configura más de un servidor de hora, puede marcar un servidor preferido incluyendo la opción preferir .
En el siguiente ejemplo, se muestra cómo configurar el enrutador o conmutador para que funcione en modo cliente:
[edit system ntp] authentication-key 1 type md5 value "$ABC123"; server 10.1.1.1 key 1 prefer; trusted-key 1;
Configure el enrutador o conmutador para que funcione en modo activo simétrico
Para configurar el enrutador o conmutador local para que funcione en modo activo simétrico, incluya la peer instrucción en el [edit system ntp] nivel de jerarquía:
[edit system ntp] peer address <key key-number> <version value> <prefer>;
Especifique la dirección del sistema remoto. Debe especificar una dirección, no un nombre de host.
Para incluir una clave de autenticación en todos los mensajes enviados al sistema remoto, incluya la opción clave . La clave corresponde al número de clave especificado en la authentication-key instrucción.
De forma predeterminada, el enrutador o conmutador envía paquetes NTP versión 4 al sistema remoto. Para establecer el nivel de versión NTP en 1, 2 o 3, incluya la opción versión .
Si configura más de un sistema remoto, puede marcar un sistema preferido incluyendo la opción preferir :
peer address <key key-number> <version value> prefer;
Configure el enrutador o conmutador para que funcione en modo de difusión
Siga los pasos a continuación para configurar el dispositivo para que funcione en modo de difusión:
(Opcional) Para incluir una clave de autenticación en todos los mensajes enviados al sistema remoto, establezca la opción clave. La clave corresponde al número de clave especificado en la
authentication-keyinstrucción.set system ntp authentication-key 1 type md5 set system ntp authentication-key 1 value ”$ABC123” set system ntp trusted-key 1
Configure la dirección del servidor NTP en el dispositivo.
set system ntp server IP address
Configure el dispositivo para anunciar actualizaciones de hora mediante la multidifusión IPv4 o IPv6.
Para que el dispositivo funcione en modo de difusión, debe habilitar la multidifusión en el dispositivo. Especifique la dirección de difusión en una de las redes locales o una dirección de multidifusión asignada a NTP. El nombre de host no está permitido. Si se utiliza la dirección de multidifusión, debe ser 224.0.1.1 para IPv4 y ff05::101 para IPv6.
set system ntp broadcast ff05::101 key 1
(Opcional) De forma predeterminada, el dispositivo envía paquetes NTP versión 4 al sistema remoto. Para establecer el nivel de versión NTP en 1, 2 o 3, incluya la opción versión.
set system ntp broadcast ff05::101 version 4
Configure el dispositivo para que utilice una dirección de origen específica para los paquetes NTP.
set system ntp source-address IP address
Habilite el PIM de protocolos de multidifusión en todas las interfaces orientadas al cliente NTP para facilitar que el dispositivo transmita paquetes NTP a través de la dirección de multidifusión (224.0.1.1 o ff05::101).
set protocols pim rp local address <interface_ip> set protocols pim interface <interface_name> mode sparse-dense
Para la dirección IPv4 (224.0.1.1), IGMP debe estar habilitado en las interfaces orientadas al cliente NTP.
set protocols igmp interface <interface_name> static group 224.0.1.1
Para Dirección IPv6 (ff05::101), habilite MLD (detección de escucha de multidifusión) en cada subinterfaz orientada al cliente NTP para unirse al grupo de multidifusión ff05::101.
set protocols mld interface xe-0/0/11:0.1200 static group ff05::101 set protocols mld interface xe-0/0/11:0.1400 static group ff05::101 set protocols mld interface xe-0/0/11:0.2100 static group ff05::101
-
Cuando configure NTP mediante el
set system ntp broadcast address <routing-instance-name routing-instance-name>comando, la instancia de enrutamiento especificada debe ser una instancia de enrutamiento L3. NTP no admite instancias de enrutamiento L2 como EVPN y VPLS y, por lo tanto, no debe especificarse en las configuraciones de NTP. -
NTP sobre multidifusión no se admite en la instancia de enrutamiento del dispositivo.
Configure el enrutador o conmutador para que funcione en modo de servidor
En el modo de servidor, el enrutador o conmutador actúa como servidor NTP para los clientes cuando los clientes están configurados correctamente. El único requisito previo para el "modo de servidor" es que el enrutador o conmutador deba estar recibiendo tiempo de otro par o servidor NTP. No es necesaria ninguna otra configuración en el enrutador o conmutador.
Al configurar el servicio NTP en el VRF de administración (mgmt_junos), debe configurar al menos una dirección IP en una interfaz física o lógica dentro de la instancia de enrutamiento predeterminada y asegurarse de que esta interfaz esté activa para que el servicio NTP funcione con el VRF mgmt_junos.
Para configurar el enrutador o conmutador local para que funcione como servidor NTP, incluya las siguientes instrucciones en el [edit system ntp] nivel jerárquico:
[edit system ntp] authentication-key key-number type type value password; server address <key key-number> <version value> <prefer>; trusted-key [key-numbers];
Especifique la dirección del sistema que actúa como servidor de hora. Debe especificar una dirección, no un nombre de host.
Para incluir una clave de autenticación en todos los mensajes enviados al servidor de tiempo, incluya la opción clave . La clave corresponde al número de clave especificado en la authentication-key instrucción.
De forma predeterminada, el enrutador o conmutador envía paquetes NTP versión 4 al servidor de hora. Para establecer el nivel de versión NTP en 1, 2 o 3, incluya la opción versión .
Si configura más de un servidor de hora, puede marcar un servidor preferido incluyendo la opción preferir .
En el siguiente ejemplo, se muestra cómo configurar el enrutador o conmutador para que funcione en modo de servidor:
[edit system ntp] authentication-key 1 type md5 value "$ABC123"; server 192.168.27.46 prefer; trusted-key 1;
A partir de Junos OS Evolved versión 24.2R1, se agregan las siguientes opciones para configurar la función NTS:
[edit system ntp]
nts
{
local-certificate <certificate-id of local certificate>;
trusted-ca (trusted-ca-group <trusted ca-group name> | trusted-ca-profile <ca-profile name>);
}
[edit system ntp server <server>]
nts remote-identity
{
hostname <FQDN of server>;
distinguished-name (container <container-string> | wildcard <wild-card string>);
}