Eltex Knowledge Base
Дерево страниц

Сравнение версий

Старая версия 1

changes.mady.by.user Сервисный центр Ethernet

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Сервисный центр Ethernet

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Протокол NTP (англ. Network Time Protocol — протокол сетевого времени) — сетевой протокол синхронизирующий хронометраж времени между между  распределенными серверами времени и клиентами , территориально  распределенных . С помощью этой синхронизации возможно возможна активация лицензий на устройстве, ведение системных журналов с сопоставлением по времени , и прочих событий, возникающих на устройстве

NTP использует UDP в качестве транспортного протокола с портом 123.  Для всех сообщений NTP используется UTC (англ. Universal Coordinated Time) - всемирное координированное время , которое совпадает со средним временем по Гринвичу.

...

Устройства линейки ESR могут не синхронизировать время с другими хостами, время которых может быть неоднозначным или некорректным по следующим причинам:

  • если устройство, с которым которым ESR необходимо синхронизироваться ESR , само не синхронизировано
  • если устройство, с которым ESR необходимо синхронизироваться ESR имеет значительно отличающееся время, даже если его stratum ниже (лучше), чем у других.
  • если ESR не синхронизирован с другими серверами времени

Далее по тексту будут использоваться такие понятия как синхронизировать и синхронизироваться. В первом случае понятие подразумевает подвергнуть синхронизации устройства согласно переданным им данных времени (временные метки). Во втором случае устройство само будет синхронизировано по параметрам,  полученным от другого устройства.

...

  • Client
  • Server
  • Symmetric active
  • Symmetric passive
  • Broadcast client

Client-Server

Image Modified


Для внешнего NTP сервера в сети Интернет ESR выступает в качестве NTP клиента. В то же время он может выступать и NTP сервером для хостов, расположенных в локальном сегменте сети, предоставляя точное время всем устройствам, настроенным на запрос времени у него.

Ниже приведён базовый пример настройки ESR, выступающего в роли NTP клиента, синхронизируемого внешним сервером времени NTP Server, и в качестве NTP сервера для хостов в локальной сети:

Блок кода
ntp enable
ntp server 46.146.231.187
  minpoll 1
  maxpoll 4
exit


Команда

Значение
ntp enableАктивация работы протокола NTP
ntp serverУказание NTP сервера, с которым будет осуществляться синхронизация времени
minpoll / maxpollМинимальный и максимальный интервалы времени между отправкой сообщений NTP-серверу


Для прохождения UDP дейтаграмм протокола NTP необходимо прописать разрешающее правило в паре зон, определённых одна из которых определена на интерфейсе, ведущего ведущем к внешним NTP серверам . В качестве порта назначения укажем значение 123. Вы так же можете настроить отдельное разрешающее правило для зоны trustedзон, ведущих в локальный сегмент сети ( в нашем примере это зона trusted ), чтобы разрешить пропуск трафика NTP из локального сегмента сети к ESR :

...

Пример полной базовой конфигурации настройки ESR в качестве NTP сервера, синхронизируемого внешним сервером времени NTP Server и отдающий синхронизацию времени устройствам в локальной сети:

...

Данный режим рекомендуется использовать в случаях, когда малое количество серверов обслуживает большое количество клиентов ( как правило - конечных устройств ). Работая в этом режиме, сервер периодически рассылает пакеты, используя широковещательный адрес подсети. Клиент, настроенный на синхронизацию таким способом, получает широковещательный пакет сервера и производит синхронизацию с сервером. Особенностью этого режима является то, что время доставляется в рамках одной подсети (ограничение broadcast-пакетов).

Информация
Активация функции broadcast-client переведёт устройство в режим прослушивания broadcast-сообщений от серверов, настроенных в аналогичном режиме. При этом настройки для symmetric-отношений с одноранговыми пирами на ESR будут игнорироваться.

Устройства линейки ESR поддерживают только broadcast-client режим , и способны получать синхронизацию времени от внешних серверов времени, работающих в broadcast режиме:

Блок кода
ntp enable
ntp broadcast-client enable

Работа в Virtual Routing and Forwarding


На устройствах линейки ESR имеется возможность задания VRF, в котором устройство будет устанавливать Peer-to-Peer или Client-Server (в качестве Client) отношения. Для этого необходимо использовать команду vrf <INSTANCE> после указания адреса удалённой устройства времени:

Блок кода
ntp server 10.0.0.1 vrf LAN
ntp peer 198.18.0.1 vrf WAN

При этом, все устройства, выступающие в роли  NTP-клиентов для данного ESR, и находящиеся в других VRF, смогут получать синхронизацию времени. Значение таймштампов, отправляемое ESR NTP-клиентам, определяет маршрутизатор на основании полученных значений от NTP-устройств, с которыми настроены Peer-to-Peer или Client-Server (ESR - в качестве Client) соседства.

Механизмы защиты NTP


Для защиты NTP на устройствах линейки ESR необходимо использовать  NTP  object-group.

Данный функционал ограничивает NTP-запросы в сторону NTP-сервера  от несанкционированных  и позволяет фильтровать NTP-запросовсообщения от несанкционированных устройств.

Режим работы  serve-only подразумевает обработку и ответ на NTP-query ( запрос времени ) от NTP-клиентов и одноранговых пиров. При этом сам NTP-сервер не будет пытаться синхронизироваться  ( Selection Algorithm - RFC5905 ) с временем, полученным в запросе от однорангового пира. Так же в данном режиме запрещены control message.

...

Укажем список IP-адресов внешних NTP-серверов и пиров, с которым будет разрешён обмен NTP-пакетами:

Блок кода
esr (config)# ntp access-addresses NTP_Servers

...