ntp

Sintaxis

Nivel de jerarquía

Descripción

Configure NTP en el dispositivo. En los modos de clúster independiente y de chasis, el motor de enrutamiento principal ejecuta el proceso NTP para obtener el tiempo del servidor NTP externo. Aunque el motor de enrutamiento secundario ejecuta el proceso NTP en un intento de obtener el tiempo del servidor NTP externo, este intento falla debido a problemas de red. Por esta razón, el motor de enrutamiento secundario usa NTP para obtener el tiempo del motor de enrutamiento principal.

Al configurar el servicio NTP en la VRF de administración (mgmt_junos), debe configurar al menos una dirección IP en una interfaz física o lógica dentro de la instancia de enrutamiento predeterminada y asegurarse de que esta interfaz esté activa para que el servicio NTP funcione con el vrf mgmt_junos.

Opciones

authentication-key key_number

Configure la clave (ID de clave, tipo de clave y valor de clave) para autenticar paquetes NTP con los dispositivos (servidores y clientes). La clave de autenticación tiene dos campos:

type— Cuando se especifica la autenticación, el identificador de clave (ID de clave) seguido del resumen del mensaje se anexa al encabezado del paquete NTP. Los formatos de síntesis de mensajes compatibles son md5, sha1, sha256.

Nota:
EX4600 no admite la autenticación SHA256 para NTP y solo admite MD5.
value— Si el valor de clave está disponible en formato ASCII y sin caracteres especiales, se puede ingresar directamente. Si el valor de la clave contiene caracteres especiales o está disponible en formato hex, tenga en cuenta lo siguiente:

Para especificar las claves en formato hex, anteponga una "\x" para cada dos caracteres. Para el ejemplo de clave hex, af60112f... 39af4ced, set system ntp authentication-key <ID> value "\xaf\x60\x11\x2f\....\x39\xaf\x4c\xed".

Si la clave contiene uno de los caracteres de (null) 0x00, (space) 0x20, " 0x22, & 0x26, ( 0x28 ) 0x29 anteponer un "\\x". Por ejemplo, \\x22.

Gama: 1 a 65534

boot-server (address | hostname)

Configure el servidor que NTP consulta cuando el dispositivo se inicie para determinar la fecha y hora locales.

Cuando inicia el dispositivo, emite una solicitud ntpdate, que sonda un servidor de red para determinar la fecha y hora locales. Debe configurar un servidor de arranque NTP que el dispositivo utilice para determinar la hora en que se inicia el dispositivo. De lo contrario, NTP no puede sincronizarse con un servidor de tiempo si el tiempo del servidor difiere significativamente del tiempo del dispositivo local.

Si configura un servidor de arranque NTP, cuando se inicia el dispositivo, se sincroniza inmediatamente con el servidor de arranque, incluso si el proceso NTP está explícitamente deshabilitado o si la diferencia de tiempo entre el cliente y el servidor de arranque supera el valor de umbral de 1000 segundos.

Valores: Configure una de las siguientes opciones:
- address—Dirección IP de un servidor de arranque NTP.
- hostname—Nombre de host de un servidor de arranque NTP. Si configura un nombre de host en lugar de una dirección IP, la solicitud ntpdate resuelve el nombre de host en una dirección IP cuando el dispositivo se inicia.

Nota:

Esta opción está en desuso a partir de Junos OS versión 20.4R1. El servidor de arranque NTP no es compatible con Junos OS Evolucionado. Configure el servidor usando set system ntp server bajo la edit system ntp server jerarquía.

broadcast <address> <key key-number> <routing-instance-name routing-instance-name> <ttl value> <version value>

Configure el dispositivo para que funcione en modo de difusión con el sistema remoto en la dirección especificada. En este modo, el dispositivo envía mensajes de difusión periódicos a una población de cliente en la dirección de difusión o multidifusión especificada. Normalmente, esta instrucción solo se incluye cuando el dispositivo funciona como transmisor.

`address`	Configure la dirección de difusión en una de las redes locales o en una dirección de multidifusión asignada a NTP. Debe especificar una dirección, no un nombre de host. Si se utiliza la dirección de multidifusión, debe ser `224.0.1.1`.
key `key-number`	(Opcional) Todos los paquetes enviados a la dirección incluyen campos de autenticación que se cifran mediante el número de clave especificado (cualquier entero de 32 bits sin firmar, excepto 0). La clave corresponde al número de clave que especificó en la instrucción authentication-key.
routing-instance-name `routing-instance-name`	(Opcional) Configure el nombre de instancia de enrutamiento en el que la interfaz tiene una dirección en la subred de difusión. Predeterminado: La instancia de enrutamiento predeterminada se utiliza para difundir paquetes.
ttl `value`	(Opcional) Configure el valor de tiempo de vida (TTL). Gama: del 1 al 255 Predeterminado: 1
version `value`	(Opcional) Especifique el número de versión que se utilizará en los paquetes NTP salientes. Gama: del 1 al 4 Predeterminado: 4

broadcast-client

Configure el dispositivo local para escuchar mensajes de difusión en la red local para descubrir otros servidores en la misma subred. Para evitar interrupciones accidentales o maliciosas en este modo, tanto los sistemas locales como remotos deben usar autenticación y el mismo identificador de clave y clave de confianza.

interval-range value

Configure el intervalo de intervalo de sondeo.

Gama: Del 0 al 3

multicast-client <address>

Configure el dispositivo local para escuchar mensajes de multidifusión en la red local. Para evitar interrupciones accidentales o maliciosas en este modo, tanto los sistemas locales como remotos deben usar autenticación y el mismo identificador de clave y clave de confianza.

Sintaxis: address<>—(Opcional) Especifique una o varias direcciones IP. Si especifica direcciones, el dispositivo se une a esos grupos de multidifusión.
Predeterminado: 224.0.1.1

nts <local-certificate local-certificate><trusted-ca (trusted-ca-group trusted-ca-group | trusted-ca-profile trusted-ca-profile)

Configure las funciones de seguridad de tiempo de red (NTS) para NTP en su dispositivo.

local-certificate local-certificate

Especifique el certificado cargado en el dispositivo durante la inscripción del certificado o cargado manualmente mediante la especificación del archivo de certificado.

trusted-ca

Especifique un grupo de CA de confianza o un perfil de CA. Esta configuración es opcional. Si no especifica un perfil de CA de confianza, NTP confía en todos los perfiles de CA configurados para NTS.

trusted-ca-group trusted-ca-group

Especifique el grupo de CA de confianza definido en [set security pki trusted-ca-group].

trusted-ca-profile trusted-ca-profile

Especifique el perfil de CA de confianza.

peer address <key key-number> <prefer> <version value>

Configure el dispositivo local para que funcione en modo activo simétrico con el sistema remoto en la dirección especificada. En este modo, el dispositivo local y el sistema remoto pueden sincronizarse entre sí. Esta configuración es útil en una red en la que el dispositivo local o el sistema remoto pueden ser una mejor fuente de tiempo.

`address`	Dirección del sistema remoto. Debe especificar una dirección, no un nombre de host.
key `key-number`	(Opcional) Todos los paquetes enviados a la dirección incluyen campos de autenticación que se cifran mediante el número de clave especificado (cualquier entero de 32 bits sin firmar, excepto 0). La clave corresponde al número de clave que especificó en la instrucción authentication-key.
prefer	(Opcional) Marque el sistema remoto como el host preferido, lo que significa que si todos los demás factores son iguales, este sistema remoto se elige para la sincronización entre un conjunto de sistemas operativos correctos.
version `value`	(Opcional) Especifique el número de versión NTP que se utilizará en paquetes NTP salientes. Gama: del 1 al 4 Predeterminado: 4

restrict address mask network-mask noquery

Restrinja los paquetes de hosts (incluidos los servidores de tiempo remoto) y subredes.

Sintaxis:
- address— Especifique la dirección IP de un host o una red.
- máscara network-mask: especifique la máscara de red para un host o una red.
- noquery: niega consultas ntpq y ntpdc de hosts y subredes. Estas consultas se pueden usar en ataques de amplificación.

server

Configure el dispositivo local para que funcione en modo de cliente con el sistema remoto en la dirección especificada. En este modo, el dispositivo se puede sincronizar con el sistema remoto, pero el sistema remoto nunca se puede sincronizar con el dispositivo.

Si el tiempo del cliente NTP se desplaza de modo que la diferencia de tiempo con respecto al servidor NTP supera los 128 milisegundos, el cliente vuelve a pasar automáticamente a la sincronización. Si el desplazamiento entre el cliente NTP y el servidor supera el umbral de 1000 segundos, el cliente aún se sincroniza con el servidor, pero también genera un mensaje de registro del sistema que señala que se superó el umbral.

`address`	Dirección del sistema remoto. Debe especificar una dirección, no un nombre de host.
key `key-number`	(Opcional) Todos los paquetes enviados a la dirección incluyen campos de autenticación que se cifran mediante el número de clave especificado (cualquier entero de 32 bits sin firmar, excepto 0). La clave corresponde al número de clave que especificó en la instrucción authentication-key.
prefer	(Opcional) Marque el sistema remoto como el host preferido, lo que significa que si todos los demás factores son iguales, este sistema remoto se elige para la sincronización entre un conjunto de sistemas operativos correctos.
routing-instance `routing-instance`	(Opcional) Instancia de enrutamiento a través de la cual se puede llegar al servidor.
nts	Habilita NTS, que utiliza el protocolo de seguridad de capa de transporte (TLS) y el cifrado autenticado con datos asociados (AEAD) para obtener tiempo de red de manera autenticada para los usuarios. El servidor especificado también debe admitir la función NTS cuando habilite NTS en un dispositivo cliente.
version `value`	(Opcional) Especifique el número de versión NTP que se utilizará en paquetes NTP salientes. Gama: del 1 al 4 Predeterminado: 4

source-addresssource-address <routing-instance [ routing-instance-name ]>

Una dirección IP válida configurada en una de las interfaces del dispositivo para usarse como dirección de origen de los mensajes enviados al servidor NTP y, opcionalmente, en la instancia de enrutamiento en la que está configurada la dirección de origen.

Predeterminado: La dirección principal de la interfaz

threshold seconds action (accept | reject)

Configure el umbral máximo en segundos permitido para el ajuste NTP y especifique el modo para el ajuste anormal de NTP.

Gama: 1 a 600 segundos
Valores: Configure una de las siguientes opciones:
- accept: habilita el modo de registro para el ajuste anormal de NTP.
- rechazar( reject): permite habilitar el modo de rechazo para un ajuste anormal de NTP.

trusted-key [ key-numbers ]

Configure una o varias claves que se le permite usar para autenticar otros servidores de tiempo, cuando configure el dispositivo local para que sincronice su tiempo con otros sistemas de la red. Cada clave puede ser cualquier entero de 32 bits sin signo, excepto 0. La clave corresponde al número de clave especificado en la instrucción authentication-key.

De forma predeterminada, la sincronización del tiempo de red no está autenticada. El dispositivo se sincroniza con cualquier sistema que parezca tener el tiempo más preciso. Le recomendamos encarecidamente que configure la autenticación de los servicios de tiempo de red.

Nivel de privilegio requerido

system— Para ver esta instrucción en la configuración.

system-control: para agregar esta instrucción a la configuración.

Información de versión

Declaración presentada antes de la versión 7.4 de Junos OS.

routing-instance opción para la server instrucción introducida en Junos OS versión 18.1.

restrict la declaración introducida en la versión 20.1 de Junos OS.

EN ESTA PÁGINA