...
Протокол NTP (англ. Network Time Protocol — протокол сетевого времени) — сетевой протокол синхронизирующий хронометраж времени между между распределенными серверами времени и клиентами , территориально распределенных . С помощью этой синхронизации возможно возможна активация лицензий на устройстве, ведение системных журналов с сопоставлением по времени , и прочих событий, возникающих на устройстве
NTP использует UDP в качестве транспортного протокола с портом 123. Для всех сообщений NTP используется UTC (англ. Universal Coordinated Time) - всемирное координированное время , которое совпадает со средним временем по Гринвичу.
...
Устройства линейки ESR могут не синхронизировать время с другими хостами, время которых может быть неоднозначным или некорректным по следующим причинам:
- если устройство, с которым которым ESR необходимо синхронизироваться ESR , само не синхронизировано
- если устройство, с которым ESR необходимо синхронизироваться ESR имеет значительно отличающееся время, даже если его stratum ниже (лучше), чем у других.
- если ESR не синхронизирован с другими серверами времени
Далее по тексту будут использоваться такие понятия как синхронизировать и синхронизироваться. В первом случае понятие подразумевает подвергнуть синхронизации устройства согласно переданным им данных времени (временные метки). Во втором случае устройство само будет синхронизировано по параметрам, полученным от другого устройства.
...
- Client
- Server
- Symmetric active
- Symmetric passive
- Broadcast client
Client-Server
Для внешнего NTP сервера в сети Интернет ESR выступает в качестве NTP клиента. В то же время он может выступать и NTP сервером для хостов, расположенных в локальном сегменте сети, предоставляя точное время всем устройствам, настроенным на запрос времени у него.
Ниже приведён базовый пример настройки ESR, выступающего в роли NTP клиента, синхронизируемого внешним сервером времени NTP Server, и в качестве NTP сервера для хостов в локальной сети:
Блок кода |
---|
ntp enable ntp server 46.146.231.187 minpoll 1 maxpoll 4 exit |
Команда | Значение |
---|---|
ntp enable | Активация работы протокола NTP |
ntp server | Указание NTP сервера, с которым будет осуществляться синхронизация времени |
minpoll / maxpoll | Минимальный и максимальный интервалы времени между отправкой сообщений NTP-серверу |
Для прохождения UDP дейтаграмм протокола NTP необходимо прописать разрешающее правило в паре зон, определённых одна из которых определена на интерфейсе, ведущего ведущем к внешним NTP серверам . В качестве порта назначения укажем значение 123. Вы так же можете настроить отдельное разрешающее правило для зоны trustedзон, ведущих в локальный сегмент сети ( в нашем примере это зона trusted ), чтобы разрешить пропуск трафика NTP из локального сегмента сети к ESR :
...
Пример полной базовой конфигурации настройки ESR в качестве NTP сервера, синхронизируемого внешним сервером времени NTP Server и отдающий синхронизацию времени устройствам в локальной сети:
...
Данный режим рекомендуется использовать в случаях, когда малое количество серверов обслуживает большое количество клиентов ( как правило - конечных устройств ). Работая в этом режиме, сервер периодически рассылает пакеты, используя широковещательный адрес подсети. Клиент, настроенный на синхронизацию таким способом, получает широковещательный пакет сервера и производит синхронизацию с сервером. Особенностью этого режима является то, что время доставляется в рамках одной подсети (ограничение broadcast-пакетов).
Информация |
---|
Активация функции broadcast-client переведёт устройство в режим прослушивания broadcast-сообщений от серверов, настроенных в аналогичном режиме. При этом настройки для symmetric-отношений с одноранговыми пирами на ESR будут игнорироваться. |
Устройства линейки ESR поддерживают только broadcast-client режим , и способны получать синхронизацию времени от внешних серверов времени, работающих в broadcast режиме:
Блок кода |
---|
ntp enable ntp broadcast-client enable |
Работа в Virtual Routing and Forwarding
На устройствах линейки ESR имеется возможность задания VRF, в котором устройство будет устанавливать Peer-to-Peer или Client-Server (в качестве Client) отношения. Для этого необходимо использовать команду vrf <INSTANCE> после указания адреса удалённой устройства времени:
Блок кода |
---|
ntp server 10.0.0.1 vrf LAN
ntp peer 198.18.0.1 vrf WAN |
При этом, все устройства, выступающие в роли NTP-клиентов для данного ESR, и находящиеся в других VRF, смогут получать синхронизацию времени. Значение таймштампов, отправляемое ESR NTP-клиентам, определяет маршрутизатор на основании полученных значений от NTP-устройств, с которыми настроены Peer-to-Peer или Client-Server (ESR - в качестве Client) соседства.
Механизмы защиты NTP
Для защиты NTP на устройствах линейки ESR необходимо использовать NTP object-group.
Данный функционал ограничивает NTP-запросы в сторону NTP-сервера от несанкционированных и позволяет фильтровать NTP-запросовсообщения от несанкционированных устройств.
Режим работы serve-only подразумевает обработку и ответ на NTP-query ( запрос времени ) от NTP-клиентов и одноранговых пиров. При этом сам NTP-сервер не будет пытаться синхронизироваться ( Selection Algorithm - RFC5905 ) с временем, полученным в запросе от однорангового пира. Так же в данном режиме запрещены control message.
...
Укажем список IP-адресов внешних NTP-серверов и пиров, с которым будет разрешён обмен NTP-пакетами:
Блок кода |
---|
esr (config)# ntp access-addresses NTP_Servers |
...