Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Protocolo de tiempo de red

RESUMEN El protocolo de tiempo de red (NTP) es un protocolo utilizado para sincronizar la hora en todos los dispositivos de una red.

Descripción general de NTP

Network Time Protocol (NTP) es un protocolo ampliamente utilizado para sincronizar los relojes de enrutadores y otros dispositivos de hardware en Internet. Los servidores NTP primarios se sincronizan con un reloj de referencia directamente trazable a la hora universal coordinada (UTC). Los relojes de referencia incluyen receptores GPS y servicios de módem telefónico, las expectativas de precisión NTP dependen de los requisitos de la aplicación del entorno. Sin embargo, NTP generalmente puede mantener el tiempo dentro de decenas de milisegundos a través de Internet público.

NTP se define en el RFC 5905: Protocolo de tiempo de red versión 4: Especificación de protocolo y algoritmos

Los dispositivos que ejecutan Junos OS se pueden configurar para que actúen como un cliente NTP, un servidor NTP secundario o un servidor NTP primario. Estas variaciones son las siguientes:

  • Servidor NTP primario: los servidores NTP primarios se sincronizan con un reloj de referencia que se puede rastrear directamente a UTC. Luego, estos servidores redistribuyen estos datos descendentes a otros servidores NTP secundarios o clientes NTP.

  • Servidor NTP secundario: los servidores NTP secundarios se sincronizan con un servidor NTP primario o secundario. A continuación, estos servidores redistribuyen estos datos descendentes a otros servidores NTP secundarios o clientes NTP.

  • Cliente NTP: los clientes NTP se sincronizan con un servidor NTP primario o secundario. Los clientes no redistribuyen estos datos de tiempo a otros dispositivos.

Nota:

La subred NTP incluye una serie de servidores de tiempo primarios públicos ampliamente accesibles que se pueden utilizar como servidor NTP principal de una red. Juniper Networks recomienda encarecidamente que autentique cualquier servidor primario que utilice.

Cada dispositivo de la red se puede configurar para que se ejecute en uno o varios de los siguientes modos NTP:

  • Modo de difusión: uno o más dispositivos están configurados para transmitir información de tiempo a una dirección de multidifusión o difusión especificada. Otros dispositivos escuchan los paquetes de sincronización de tiempo en estas direcciones. Este modo es menos preciso que el modo cliente/servidor.

  • Modo cliente/servidor: los dispositivos se organizan jerárquicamente en toda la red en relaciones cliente/servidor.

  • Modo activo simétrico (par): dos o más dispositivos están configurados como pares del servidor NTP para proporcionar redundancia.

De forma predeterminada, si el tiempo de un cliente NTP se desvía de tal manera que la diferencia de tiempo desde el servidor NTP supera los 128 milisegundos, el cliente NTP vuelve automáticamente a sincronizarse. El cliente NTP seguirá sincronizándose con el servidor incluso si el desplazamiento entre el cliente NTP y el servidor supera el umbral de 1000 segundos. Puede solicitar manualmente que un dispositivo se sincronice con un servidor NTP mediante el set date ntp comando operativo del enrutador. En los dispositivos que ejecutan Junos OS y tienen motores de enrutamiento duales, el motor de enrutamiento de reserva se sincroniza directamente con el motor de enrutamiento principal.

Todas las plataformas de Juniper que ejecutan Junos OS admiten el ajuste de segundo intercalar. De forma predeterminada, si el servidor NTP es consciente de los cálculos de segundos intercalares, el dispositivo Junos agregará automáticamente el retraso de 1 segundo. El PTP (protocolo de tiempo de precisión) se utiliza para detectar y propagar los cambios de sincronización en segundos intercalares en todos los nodos de una red. NTP también es necesario para el cumplimiento de Common Criteria. Para obtener más información sobre la certificación Common Criteria, consulte Certificaciones del sector público.

Para obtener más detalles sobre el protocolo de tiempo de red, visite el sitio web de Network Time Foundation en http://www.ntp.org.

NTP admite VPN IPv4 y solicitudes de enrutamiento y reenvío IPv6 (VRF) en Junos OS. La solicitud VRF también se admite en Junos OS Evolved versión 20.2R1 en adelante. Esto permite que un servidor NTP que se ejecuta en un enrutador perimetral de proveedor (PE) responda a las solicitudes NTP de un enrutador perimetral del cliente (CE). Como resultado, un enrutador PE puede procesar cualquier paquete de solicitud NTP proveniente de diferentes instancias de enrutamiento.

Compatibilidad con seguridad de tiempo de red (NTS) para NTP

Información general sobre NTS

NTS proporciona seguridad criptográfica para la sincronización de tiempo de red y admite el modo cliente-servidor de NTP. NTS utiliza el protocolo de seguridad de la capa de transporte (TLS) y el cifrado autenticado con datos asociados (AEAD) para obtener la hora de la red de forma autenticada para los usuarios. NTS también proporciona compatibilidad para el cifrado de campos de extensión NTP.

Los procesos de seguridad más importantes dependen de la hora exacta. La sincronización de tiempo de red desde una fuente maliciosa conlleva graves consecuencias. La habilitación de NTS garantiza una sincronización precisa de la hora de red en el dispositivo.

A partir de la versión 24.2R1 de Junos OS Evolved, se admite el cumplimiento de RFC 8915 para la seguridad de tiempo de red (NTS) mediante el protocolo de tiempo de red (NTP) en dispositivos de las series ACX, QFX y PTX. NTS proporciona seguridad criptográfica para la sincronización de tiempo de red y admite el modo cliente/servidor de NTP.

Esta característica de cumplimiento de RFC 8915 admite:

- Configuración de local-certificate para servidor y opciones de verificación de certificados para cliente.

- Verificación de certificados x.509 para establecer un canal TLS entre cliente y servidor.

- Soporte de protocolo TLS NTS-KE.

- Soporte para la comunicación NTP cliente-servidor segura NTS en el servidor y el cliente.

Beneficios de NTS

  • Proporciona una sólida protección criptográfica contra una amplia gama de ataques de seguridad, como la manipulación de paquetes, la suplantación de identidad, los ataques de amplificación de DDOS y los ataques de reproducción
  • Garantiza una sincronización precisa de la hora de la red desde una fuente confiable
  • Proporciona escalabilidad: los servidores pueden servir a varios clientes sin preconfigurar manualmente ninguna configuración específica del cliente. Debido al uso de cookies, el servidor no necesita almacenar localmente los datos específicos del cliente, como las claves y el algoritmo AEAD
  • Evita el rastreo de dispositivos móviles

Sincronización de tiempo de red con NTS

NTS consta de dos protocolos, el protocolo de establecimiento de claves NTS (NTS-KE) y la sincronización de tiempo NTP mediante campos de extensión NTS. La figura 1 muestra las interacciones en NTS.

Protocolo NTS-KE

El protocolo de establecimiento de claves NTS (NTS-KE) utiliza el protocolo TLS para administrar la autenticación inicial del servidor, la negociación de parámetros NTS y el establecimiento de claves a través de TLS en el orden siguiente:

  1. El cliente realiza un protocolo de enlace TLS con el servidor NTS-KE y comprueba correctamente los certificados.
  2. El cliente realiza la negociación de parámetros NTS con el servidor a través del canal protegido por TLS. Los algoritmos criptográficos negociados son métodos AEAD, que protegen los paquetes NTP en la segunda fase.

  3. El cliente y el servidor establecen con éxito el material clave para la comunicación.

  4. El servidor también envía un suministro de cookies iniciales al cliente para su uso en la siguiente fase.

  5. El canal TLS se cierra y NTP pasa a la siguiente fase donde se produce el intercambio real de datos de tiempo.

NTS sólo admite la versión 1.3 de TLS. Las versiones anteriores de TLS se rechazan durante la fase de protocolo NTS-KE.

Sincronización de hora NTP mediante campos de extensión NTS

Esta fase administra el cifrado y la autenticación durante la sincronización de tiempo NTP a través de los campos de extensión en los paquetes NTP en el orden siguiente:

  1. El cliente consulta al servidor NTP acerca de la hora con los campos de extensión NTS. Estos campos de extensión incluyen cookies y una etiqueta de autenticación calculada utilizando el algoritmo AEAD negociado y el material clave extraído del protocolo de enlace NTS-KE.

    Una solicitud de cliente NTP protegida por NTS contiene los siguientes campos de extensión NTS:

    • Campo de extensión de identificador único: contiene datos generados aleatoriamente y proporciona los medios para la protección de reproducción en el nivel NTS.

    • Campo de extensión de cookie NTS: contiene la información sobre el material clave, que se establece durante la fase NTS-KE, y el algoritmo criptográfico negociado. Una cookie solo se utiliza una vez en una solicitud para evitar el seguimiento.

    • Campo de extensión de marcador de posición de cookie NTS: (Opcional) Comunica al servidor que el cliente desea recibir cookies adicionales en el paquete de respuesta.

    • Autenticación NTS y campos de extensión cifrados: generados mediante el algoritmo AEAD y la clave establecida durante NTS-KE. Este campo proporciona la protección de integridad para el encabezado NTP y todos los campos de extensión anteriores.

    La actualización constante de las cookies protege a un dispositivo del seguimiento cuando cambia de dirección de red. Por ejemplo, un dispositivo móvil que se mueve a través de diferentes redes. La falta de datos reconocibles impide que un adversario determine que dos paquetes enviados a través de diferentes direcciones de red provienen del mismo cliente.

  2. Cuando el servidor recibe una solicitud protegida por NTS del cliente, el servidor descifra la cookie con una clave maestra.

  3. El servidor extrae el algoritmo AEAD negociado y las claves que están disponibles en la cookie. Con esta clave, el servidor comprueba la integridad del paquete NTP para asegurarse de que no se manipule el paquete.

  4. El servidor genera una o más cookies nuevas y crea el paquete de respuesta NTP. El servidor genera al menos una cookie nueva y una cookie adicional para cada campo de extensión de marcador de posición de cookie que el cliente agregó en el paquete de solicitud.

    El paquete de respuesta contiene dos campos de extensión NTS:

    • El campo de extensión de identificador único, que tiene el mismo contenido del campo de identificador único en el paquete de solicitud.
    • El campo de autenticación NTS y extensión cifrada, que protege el encabezado NTP y los campos de extensión anteriores mediante las claves extraídas.
  5. El servidor también cifra las cookies y las incluye en los campos NTS Authenticator y Encrypted Extension. Este procedimiento también protege al cliente del seguimiento, ya que un atacante no puede extraer las cookies de un mensaje de respuesta.

  6. El servidor finaliza el paquete de respuesta y lo envía al cliente.

  7. El cliente recibe el paquete de respuesta.

  8. El cliente comprueba el campo Identificador único y comprueba que el identificador único coincide con una solicitud pendiente.

  9. El cliente realiza correctamente la comprobación de integridad del paquete utilizando la clave y el algoritmo AEAD.

  10. El cliente descifra las cookies y las agrega a su grupo y procesa la información de tiempo recibida del servidor.

Servidores de tiempo NTP

El IETF definió el Protocolo de tiempo de red (NTP) para sincronizar los relojes de los sistemas informáticos conectados entre sí a través de una red. La mayoría de las redes grandes tienen un servidor NTP que garantiza que la hora en todos los dispositivos esté sincronizada, independientemente de la ubicación del dispositivo. Si utiliza uno o varios servidores NTP en la red, asegúrese de incluir las direcciones del servidor NTS en la configuración de Junos OS.

Al configurar el NTP, puede especificar qué sistema de la red es el origen de tiempo autoritativo o servidor de hora, y cómo se sincroniza la hora entre los sistemas de la red. Para ello, configure el enrutador, conmutador o dispositivo de seguridad para que funcione en uno de los modos siguientes:

  • Modo de cliente: en este modo, el enrutador o conmutador local se puede sincronizar con el sistema remoto, pero el sistema remoto nunca se puede sincronizar con el enrutador o conmutador local.

  • Modo activo simétrico: en este modo, el enrutador o conmutador local y el sistema remoto pueden sincronizarse entre sí. Este modo se utiliza en una red en la que el enrutador o conmutador local o el sistema remoto pueden ser una mejor fuente de tiempo.

    El modo activo simétrico puede iniciarse tanto por el sistema local como por el remoto. Solo es necesario configurar un sistema para hacerlo. Esto significa que el sistema local puede sincronizarse con cualquier sistema que ofrezca modo activo simétrico sin ninguna configuración. Sin embargo, le recomendamos encarecidamente que configure la autenticación para asegurarse de que el sistema local se sincronice solo con los servidores de hora conocidos.

  • Modo de difusión: en este modo, el enrutador o conmutador local envía mensajes de difusión periódicos a una población cliente en la dirección de difusión o multidifusión especificada. Normalmente, esta instrucción sólo se incluye cuando el enrutador o conmutador local funciona como transmisor.

  • Modo de servidor: en este modo, el enrutador o conmutador local funciona como un servidor NTP.

    En el modo de servidor NTP, Junos OS admite la autenticación de la siguiente manera:

    • Si la solicitud NTP del cliente viene con una clave de autenticación (como un ID de clave y un resumen del mensaje enviado con el paquete), la solicitud se procesa y responde en función de la coincidencia de clave de autenticación.

    • Si la solicitud NTP del cliente viene sin ninguna clave de autenticación, la solicitud se procesa y responde sin autenticación.

Configurar el servidor de tiempo NTP y los servicios de hora

Cuando utilice NTP, configure el enrutador o conmutador para que funcione en uno de los modos siguientes:

  • Modo de cliente

  • Modo activo simétrico

  • Modo de transmisión

  • Modo de servidor

En los temas siguientes se describe cómo configurar estos modos de operación:

Configurar el enrutador o conmutador para que funcione en modo cliente

Para configurar el enrutador o conmutador local para que funcione en modo cliente, incluya la server instrucción y otras instrucciones opcionales en el nivel de [edit system ntp] jerarquía:

Especifique la dirección del sistema que actúa como servidor horario. Debe especificar una dirección, no un nombre de host.

Para incluir una clave de autenticación en todos los mensajes enviados al servidor horario, incluya la opción clave. La clave corresponde al número de clave especificado en la authentication-key instrucción, como se describe en .

De forma predeterminada, el enrutador o conmutador envía paquetes NTP versión 4 al servidor horario. Para establecer el nivel de versión NTP en 1, 2 o 3, incluya la opción versión .

Si configura más de un servidor de tiempo, puede marcar un servidor como preferido incluyendo la opción de preferencia .

En el ejemplo siguiente se muestra cómo configurar el enrutador o conmutador para que funcione en modo cliente:

Configurar el enrutador o conmutador para que funcione en modo activo simétrico

Para configurar el enrutador o conmutador local para que funcione en modo activo simétrico, incluya la peer instrucción en el nivel de [edit system ntp] jerarquía:

Especifique la dirección del sistema remoto. Debe especificar una dirección, no un nombre de host.

Para incluir una clave de autenticación en todos los mensajes enviados al sistema remoto, incluya la opción clave . La clave corresponde al número de clave especificado en la authentication-key instrucción.

De forma predeterminada, el enrutador o conmutador envía paquetes NTP versión 4 al sistema remoto. Para establecer el nivel de versión NTP en 1, 2 o 3, incluya la opción versión .

Si configura más de un sistema remoto, puede marcar un sistema como preferido incluyendo la opción preferir :

Configurar el enrutador o conmutador para que funcione en modo de difusión

Para configurar el enrutador o conmutador local para que funcione en modo de difusión, incluya la broadcast instrucción en el nivel de [edit system ntp] jerarquía:

Especifique la dirección de difusión en una de las redes locales o una dirección de multidifusión asignada a NTP. Debe especificar una dirección, no un nombre de host. Si se utiliza la dirección de multidifusión, debe ser 224.0.1.1. Los protocolos de multidifusión PIM e IGMP deben habilitarse en las interfaces orientadas al cliente NTP para facilitar que el dispositivo transmita paquetes NTP a través de la dirección de multidifusión 224.0.1.1. Ejecute los siguientes comandos para hacerlo:

Nota:

NTP sobre multidifusión no se admite en la instancia de enrutamiento del dispositivo.

Para incluir una clave de autenticación en todos los mensajes enviados al sistema remoto, incluya la opción clave. La clave corresponde al número de clave especificado en la authentication-key instrucción.

De forma predeterminada, el enrutador o conmutador envía paquetes NTP versión 4 al sistema remoto. Para establecer el nivel de versión NTP en 1, 2 o 3, incluya la opción versión.

Configurar el enrutador o conmutador para que funcione en modo servidor

En el modo de servidor, el enrutador o conmutador actúa como un servidor NTP para los clientes cuando los clientes están configurados correctamente. El único requisito previo para el "modo servidor" es que el enrutador o conmutador debe estar recibiendo tiempo de otro par o servidor NTP. No es necesaria ninguna otra configuración en el enrutador o conmutador.

Al configurar el servicio NTP en el VRF de administración (mgmt_junos), debe configurar al menos una dirección IP en una interfaz física o lógica dentro de la instancia de enrutamiento predeterminada y asegurarse de que esta interfaz esté activa para que el servicio NTP funcione con el VRF mgmt_junos.

Para configurar el enrutador o conmutador local para que funcione como un servidor NTP, incluya las siguientes instrucciones en el nivel de [edit system ntp] jerarquía:

Especifique la dirección del sistema que actúa como servidor horario. Debe especificar una dirección, no un nombre de host.

Para incluir una clave de autenticación en todos los mensajes enviados al servidor horario, incluya la opción clave. La clave corresponde al número de clave especificado en la authentication-key instrucción.

De forma predeterminada, el enrutador o conmutador envía paquetes NTP versión 4 al servidor horario. Para establecer el nivel de versión NTP en 1,2 o 3, incluya la opción versión.

Si configura más de un servidor de tiempo, puede marcar un servidor como preferido incluyendo la opción de preferencia .

En el ejemplo siguiente se muestra cómo configurar el enrutador o conmutador para que funcione en modo servidor:

A partir de la versión 24.2R1 de Junos OS Evolved, se agregan las siguientes opciones para configurar la función NTS:

Ejemplo: configurar NTP como un único origen de tiempo para la sincronización del reloj del enrutador y del conmutador

La depuración y la solución de problemas son mucho más sencillas cuando se sincronizan las marcas de tiempo de los archivos de registro de todos los enrutadores o conmutadores, ya que los eventos que abarcan la red se pueden correlacionar con entradas sincrónicas en varios registros. Recomendamos encarecidamente utilizar el protocolo de tiempo de red (NTP) para sincronizar los relojes del sistema de enrutadores, conmutadores y otros equipos de red.

De forma predeterminada, NTP funciona de una manera totalmente no autenticada. Si un intento malicioso de influir en la precisión del reloj de un enrutador o conmutador tiene éxito, podría tener efectos negativos en el registro del sistema, dificultar la solución de problemas y la detección de intrusiones, e impedir otras funciones de administración.

La siguiente configuración de ejemplo sincroniza todos los enrutadores o conmutadores de la red en un único origen de tiempo. Se recomienda usar la autenticación para asegurarse de que el par NTP es de confianza. La boot-server instrucción identifica el servidor desde el que se obtiene la hora inicial del día y la fecha cuando arranca el enrutador. La server instrucción identifica el servidor NTP utilizado para la sincronización periódica de hora. La source-address instrucción permite especificar una dirección de origen por familia para cada instancia de enrutamiento, La authentication-key instrucción especifica que se debe usar un esquema HMAC-Message Digest 5 (MD5) para aplicar hash al valor clave para la autenticación, lo que impide que el enrutador o conmutador se sincronice con el host de un atacante que se hace pasar por el servidor horario.

Sincronizar y coordinar la distribución de tiempo mediante NTP

El uso de NTP para sincronizar y coordinar la distribución de tiempo en una red grande implica estas tareas:

Configurar NTP

  • Para configurar NTP en el conmutador, incluya la ntp instrucción en el nivel de [edit system] jerarquía:

Configurar el servidor de arranque NTP

Cuando arranca el conmutador, emite una solicitud ntpdate , que sondea un servidor de red para determinar la fecha y hora locales. Debe configurar un servidor que el conmutador utilice para determinar la hora a la que se inicia el conmutador. De lo contrario, NTP no podrá sincronizarse con un servidor de tiempo si la hora del servidor parece estar muy lejos de la hora del conmutador local.

  • Para configurar el servidor de arranque NTP, incluya la boot-server instrucción en el nivel de [edit system ntp] jerarquía:

Nota:

La boot-server opción está en desuso a partir de Junos OS versión 20.4R1.

  • Junos OS versión 15.1 en adelante, para configurar el servidor de arranque NTP, incluya la set ntp server instrucción en el nivel de [edit system ntp] jerarquía:

Especifique la dirección IP o el nombre de host del servidor de red.

Especificar una dirección de origen para un servidor NTP

Para IP versión 4 (IPv4), puede especificar que si se contacta con el servidor NTP configurado en el [edit system ntp] nivel de jerarquía en una de las direcciones de interfaz de circuito cerrado, la respuesta siempre utilice una dirección de origen específica. Esto es útil para controlar qué dirección de origen NTP usará para tener acceso a la red cuando responda a una solicitud de cliente NTP de la red o cuando él mismo envíe solicitudes NTP a la red.

Para configurar la dirección de origen específica que siempre usará la respuesta y la dirección de origen que usarán las solicitudes iniciadas por el servidor NTP, incluya la source-address instrucción en el nivel de [edit system ntp] jerarquía. Es source-address una dirección IP válida configurada en una de las interfaces del enrutador o conmutador.

[edit system ntp]
user@host#set source-address source-address

Por ejemplo:

A partir de Junos OS versión 13.3 y Junos OS Evolved versión 20.2R1, puede configurar la dirección de origen mediante la routing-instance instrucción en el nivel de [edit system ntp source-address source-address] jerarquía:

Como resultado, al enviar un mensaje NTP a través de cualquier interfaz en la instancia de enrutamiento ntp-source-test , se utiliza la dirección de origen 12.12.12.12.

Nota:

La routing-instance instrucción es opcional y, si no está configurada, se utilizará la dirección principal de la interfaz.

Especifique una dirección de origen por familia para cada instancia de enrutamiento,

Por ejemplo:

Al configurar el servicio NTP en el VRF de administración (mgmt_junos), debe configurar al menos una dirección IP en una interfaz física o lógica dentro de la instancia de enrutamiento predeterminada y asegurarse de que esta interfaz esté activa para que el servicio NTP funcione con el VRF mgmt_junos.

Nota:

Si se aplica un filtro de firewall en la interfaz de circuito cerrado, asegúrese de que el source-address especificado para el servidor NTP en el [edit system ntp] nivel de jerarquía se incluye explícitamente como uno de los criterios de coincidencia en el filtro de firewall. Esto permite que Junos OS acepte tráfico en la interfaz de circuito cerrado desde la dirección de origen especificada.

En el ejemplo siguiente se muestra un filtro de firewall con la dirección 10.1.4.3 de origen especificada en la from instrucción incluida en la [edit firewall filter firewall-filter-name] jerarquía:

Si no se configura ninguna source-address instrucción para el servidor NTP, incluya la dirección principal de la interfaz de circuito cerrado en el filtro de firewall.

Configuración NTP

El protocolo de tiempo de red (NTP) proporciona los mecanismos para sincronizar el tiempo y coordinar la distribución del tiempo en una red grande y diversa. La depuración y la solución de problemas son mucho más sencillas cuando se sincronizan las marcas de tiempo de los archivos de registro de todos los enrutadores o conmutadores, ya que los eventos que abarcan la red se pueden correlacionar con entradas sincrónicas en varios registros. Recomendamos utilizar el protocolo de tiempo de red (NTP) para sincronizar los relojes del sistema de enrutadores, conmutadores y otros equipos de red.

Para configurar NTP:

  1. Configure Junos OS para recuperar la hora a la que se inicia por primera vez.

    Utilice la boot-server instrucción con la dirección IP del servidor NTP. Si DNS está configurado, puede usar un nombre de dominio en lugar de una dirección IP.

    Por ejemplo, establezca una dirección IP de 172.16.1.1 para su servidor NTP.

    Por ejemplo, establezca un nombre de dominio. En este ejemplo, el nombre de dominio es proporcionado por pool.ntp.org.

  2. Especifique la dirección de origen que siempre usará la respuesta y la dirección de origen que usarán las solicitudes iniciadas por el servidor NTP, incluya la source-address instrucción en el nivel de [edit system ntp] jerarquía.
    Por ejemplo:
  3. Especifique una dirección de origen por familia para cada instancia de enrutamiento.
    Por ejemplo, se configura la instrucción siguiente:
  4. (Opcional) Configure uno o más servidores NTP de referencia para mantener el dispositivo sincronizado con actualizaciones periódicas.

    Es una buena práctica hacer esto, ya que el dispositivo Junos OS puede permanecer activo durante mucho tiempo y, por lo tanto, el reloj puede desviarse.

    Por ejemplo, establezca una dirección IP de 172.16.1.1 para su servidor NTP.

    Por ejemplo, establezca un nombre de dominio proporcionado por pool.ntp.org.

  5. (Opcional) Establezca la zona horaria local para que coincida con la ubicación del dispositivo.

    La hora coordinada universal (UTC) es la predeterminada. Muchos administradores prefieren mantener todos sus dispositivos configurados para usar la zona horaria UTC. Este enfoque tiene la ventaja de permitirle comparar fácilmente las marcas de tiempo de los registros y otros eventos en una red de dispositivos en muchas zonas horarias diferentes.

    Por otro lado, establecer la zona horaria permite a Junos OS presentar la hora en el formato local correcto.

    Por ejemplo:

  6. Compruebe la configuración.

    Compruebe el tiempo de actividad del sistema. Este comando proporciona la hora actual, cuándo se inició el dispositivo por última vez, cuándo se iniciaron los protocolos y cuándo se configuró por última vez.

    Compruebe el estado del servidor NTP y las asociaciones de los orígenes de sincronización utilizados por el dispositivo.

    Para configurar NTP en el enrutador o conmutador, incluya la ntp instrucción en el nivel de [edit system] jerarquía:

Ejemplo: configurar NTP

El protocolo de tiempo de red (NTP) proporciona el mecanismo para sincronizar el tiempo y coordinar la distribución del tiempo en una red grande y diversa. NTP utiliza un diseño de tiempo retornable en el que una subred distribuida de servidores de tiempo que operan en una configuración primaria-secundaria jerárquica y autoorganizada sincroniza los relojes locales dentro de la subred y con los estándares de hora nacionales por medio de cable o radio. Los servidores también pueden redistribuir el tiempo de referencia utilizando algoritmos de enrutamiento local y demonios de tiempo.

En este ejemplo se muestra cómo configurar NTP:

Requisitos

En este ejemplo se utilizan los siguientes componentes de software y hardware:

  • Junos OS versión 11.1 o posterior

  • Un conmutador conectado a una red en la que residen un servidor de arranque NTP y un servidor NTP

Visión general

La depuración y la solución de problemas son mucho más sencillas cuando las marcas de tiempo de los archivos de registro de todos los conmutadores están sincronizadas, ya que los eventos que abarcan una red se pueden correlacionar con entradas sincrónicas en varios registros. Recomendamos utilizar el protocolo de tiempo de red (NTP) para sincronizar los relojes del sistema del conmutador y otros equipos de red.

En este ejemplo, un administrador desea sincronizar la hora de un conmutador con un único origen de tiempo. Se recomienda usar la autenticación para asegurarse de que el par NTP es de confianza. La boot-server instrucción identifica el servidor desde el que se obtienen la hora inicial del día y la fecha cuando se inicia el conmutador. La server instrucción identifica el servidor NTP utilizado para la sincronización periódica de hora. La authentication-key instrucción especifica que se usa un esquema HMAC-Message Digest 5 (MD5) para aplicar hash al valor de clave para la autenticación, lo que impide que el conmutador se sincronice con el host de un atacante que se hace pasar por el servidor horario.

Configuración

Para configurar NTP:

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente NTP, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

Procedimiento paso a paso

Para configurar NTP:

  1. Especifique el servidor de arranque:

  2. Especifique el servidor NTP:

  3. Especifique una dirección de origen por familia para cada instancia de enrutamiento:

  4. Especifique el número de clave, el tipo de autenticación (MD5) y la clave para la autenticación:

Resultados

Consulta los resultados:

Verificación

Para confirmar que la configuración es correcta, realice estas tareas:

Comprobación de la hora

Propósito

Compruebe la hora establecida en el conmutador.

Acción

Introduzca el comando del show system uptime modo operativo para mostrar la hora.

Significado

El resultado muestra que la fecha y hora actuales son 12 de junio de 2009 y 12:49:03 PDT. El conmutador se inició hace 4 semanas, 6 horas y 24 minutos, y sus protocolos se iniciaron aproximadamente 3 minutos antes de arrancar. El usuario admin1 configuró el conmutador por última vez el 27 de mayo de 2009 y actualmente hay un usuario que ha iniciado sesión en el conmutador.

El resultado también muestra que el promedio de carga es de 0,05 segundos para el último minuto, 0,06 segundos para los últimos 5 minutos y 0,01 segundos para los últimos 15 minutos.

Visualización de los pares NTP

Propósito

Compruebe que la hora se ha obtenido de un servidor NTP.

Acción

Ingrese el comando de show ntp associations modo operativo para mostrar el servidor NTP desde el conmutador obtenido su hora.

Significado

El asterisco (*) delante del nombre del servidor NTP, o par, indica que la hora está sincronizada y obtenida de este servidor. El retraso, el desplazamiento y la fluctuación se muestran en milisegundos.

Visualización del estado NTP

Propósito

Ver la configuración del servidor NTP y el estado del sistema.

Acción

Introduzca el comando del show ntp status modo operativo para ver el estado del NTP.

Significado

El resultado muestra información de estado sobre el conmutador y el NTP.

Claves de autenticación NTP

La sincronización de hora se puede autenticar para garantizar que el conmutador obtenga sus servicios de hora solo de fuentes conocidas. De forma predeterminada, la sincronización de hora de red no está autenticada. El interruptor se sincronizará con cualquier sistema que parezca tener la hora más precisa. Le recomendamos encarecidamente que configure la autenticación de los servicios de hora de red.

Para autenticar otros servidores horarios, incluya la trusted-key instrucción en el nivel jerárquico [edit system ntp] . Las claves de confianza hacen referencia a la clave configurada en la que NTP confía y que NTP utiliza para la sincronización segura del reloj. Cualquier clave configurada a la que no se haga referencia en el trusted-key no está calificada y NTP la rechaza. Solo los servidores de hora que transmiten paquetes de tiempo de red que contienen uno de los números de clave especificados son elegibles para sincronizarse. Además, la clave debe coincidir con el valor configurado para ese número de clave. Otros sistemas pueden sincronizarse con el conmutador local sin estar autenticados.

Cada clave puede ser cualquier entero sin signo de 32 bits, excepto 0. Incluya la opción de clave en el par, servidor o broadcast instrucciones para transmitir la clave de autenticación especificada al transmitir paquetes. La clave es necesaria si el sistema remoto tiene habilitada la autenticación para que pueda sincronizarse con el sistema local.

Para definir las claves de autenticación, incluya la authentication-key instrucción en el nivel de [edit system ntp] jerarquía:

number es el número de clave, type es el tipo de autenticación (solo se admiten Message Digest 5 [MD5], SHA1 y SHA256) y password es la contraseña de esta clave. El número de clave, el tipo y la contraseña deben coincidir en todos los sistemas que utilizan esa clave en particular para la autenticación. No debe haber espacio en la contraseña para configurar la clave de autenticación del protocolo de tiempo de red (NTP).

Nota:

EX4300, EX4600 y dispositivos relacionados que no son MP, como QFX5100 (modelos EX y QFX que ejecutan BSD6) solo admiten autenticación MD5 para NTP y no admiten los tipos de autenticación SHA-1 y SHA-256.

Configurar dispositivos para escuchar mensajes de difusión mediante NTP

Cuando utilice NTP, puede configurar el enrutador o conmutador local para que escuche mensajes de difusión en la red local y detecte otros servidores en la misma subred incluyendo la broadcast-client instrucción en el nivel de [edit system ntp] jerarquía:

Cuando el enrutador o conmutador detecta un mensaje de difusión por primera vez, mide el retraso nominal de la red mediante un breve intercambio cliente-servidor con el servidor remoto. A continuación, entra en el modo de cliente de difusión , en el que escucha y sincroniza con los mensajes de difusión sucesivos.

Para evitar interrupciones accidentales o maliciosas en este modo, tanto el sistema local como el remoto deben usar autenticación y la misma clave de confianza e identificador de clave.

Configurar dispositivos para escuchar mensajes de multidifusión mediante NTP

Cuando utilice NTP, puede configurar el enrutador o conmutador local para que escuche mensajes de multidifusión en la red local y detecte otros servidores en la misma subred incluyendo la multicast-client instrucción en el nivel de [edit system ntp] jerarquía:

Cuando el enrutador o conmutador recibe un mensaje de multidifusión por primera vez, mide el retraso nominal de la red mediante un breve intercambio cliente-servidor con el servidor remoto. A continuación, entra en el modo de cliente de multidifusión , en el que escucha y sincroniza con los mensajes de multidifusión sucesivos.

Puede especificar una o varias direcciones IP. (Debe especificar una dirección, no un nombre de host). Si lo hace, el enrutador o conmutador se une a esos grupos de multidifusión. Si no especifica ninguna dirección, el software utiliza 224.0.1.1.

Para evitar interrupciones accidentales o maliciosas en este modo, tanto el sistema local como el remoto deben usar autenticación y la misma clave de confianza e identificador de clave.