...
Протокол NTP (англ. Network Time Protocol — протокол сетевого времени) — сетевой протокол синхронизирующий хронометраж времени между между распределенными серверами времени и клиентами , территориально распределенных . С помощью этой синхронизации возможно возможна активация лицензий на устройстве, ведение системных журналов с сопоставлением по времени , и прочих событий, возникающих на устройстве
NTP использует UDP в качестве транспортного протокола с портом 123. Для всех сообщений NTP используется UTC (англ. Universal Coordinated Time) - всемирное координированное время , которое совпадает со средним временем по Гринвичу.
...
Устройства линейки ESR могут не синхронизировать время с другими хостами, время которых может быть неоднозначным или некорректным по следующим причинам:
- если устройство, с которым которым ESR необходимо синхронизироваться ESR , само не синхронизировано
- если устройство, с которым ESR необходимо синхронизироваться ESR имеет значительно отличающееся время, даже если его stratum ниже (лучше), чем у других.
- если ESR не синхронизирован с другими серверами времени
Далее по тексту будут использоваться такие понятия как синхронизировать и синхронизироваться. В первом случае понятие подразумевает подвергнуть синхронизации устройства согласно переданным им данных времени (временные метки). Во втором случае устройство само будет синхронизировано по параметрам, полученным от другого устройства.
...
Ниже приведён базовый пример настройки ESR, выступающего в роли NTP клиента, синхронизируемого внешним сервером времени NTP Server, и в качестве NTP сервера для хостов в локальной сети:
...
Для прохождения UDP дейтаграмм протокола NTP необходимо прописать разрешающее правило в паре зон, определённых одна из которых определена на интерфейсе, ведущего ведущем к внешним NTP серверам . В качестве порта назначения укажем значение 123. Вы так же можете настроить отдельное разрешающее правило для зоны trustedзон, ведущих в локальный сегмент сети ( в нашем примере это зона trusted ), чтобы разрешить пропуск трафика NTP из локального сегмента сети к ESR :
...
Пример полной базовой конфигурации настройки ESR в качестве NTP сервера, синхронизируемого внешним сервером времени NTP Server и отдающий синхронизацию времени устройствам в локальной сети:
...
Данный режим рекомендуется использовать в случаях, когда малое количество серверов обслуживает большое количество клиентов ( как правило - конечных устройств ). Работая в этом режиме, сервер периодически рассылает пакеты, используя широковещательный адрес подсети. Клиент, настроенный на синхронизацию таким способом, получает широковещательный пакет сервера и производит синхронизацию с сервером. Особенностью этого режима является то, что время доставляется в рамках одной подсети (ограничение broadcast-пакетов).
| Информация |
|---|
| Активация функции broadcast-client переведёт устройство в режим прослушивания broadcast-сообщений от серверов, настроенных в аналогичном режиме. При этом настройки для symmetric-отношений с одноранговыми пирами на ESR будут игнорироваться. |
Устройства линейки ESR поддерживают только broadcast-client режим , и способны получать синхронизацию времени от внешних серверов времени, работающих в broadcast режиме:
| Блок кода |
|---|
ntp enable ntp broadcast-client enable |
Работа в Virtual Routing and Forwarding
На устройствах линейки ESR имеется возможность задания VRF, в котором устройство будет устанавливать Peer-to-Peer или Client-Server (в качестве Client) отношения. Для этого необходимо использовать команду vrf <INSTANCE> после указания адреса удалённой устройства времени:
| Блок кода |
|---|
ntp server 10.0.0.1 vrf LAN
ntp peer 198.18.0.1 vrf WAN |
При этом, все устройства, выступающие в роли NTP-клиентов для данного ESR, и находящиеся в других VRF, смогут получать синхронизацию времени. Значение таймштампов, отправляемое ESR NTP-клиентам, определяет маршрутизатор на основании полученных значений от NTP-устройств, с которыми настроены Peer-to-Peer или Client-Server (ESR - в качестве Client) соседства.
Механизмы защиты NTP
Для защиты NTP на устройствах линейки ESR необходимо использовать NTP object-group.
Данный функционал ограничивает NTP-запросы в сторону NTP-сервера от несанкционированных и позволяет фильтровать NTP-запросовсообщения от несанкционированных устройств.
Режим работы serve-only подразумевает обработку и ответ на NTP-query ( запрос времени ) от NTP-клиентов и одноранговых пиров. При этом сам NTP-сервер не будет пытаться синхронизироваться ( Selection Algorithm - RFC5905 ) с временем, полученным в запросе от однорангового пира. Так же в данном режиме запрещены control message.
...
Укажем список IP-адресов внешних NTP-серверов и пиров, с которым будет разрешён обмен NTP-пакетами:
| Блок кода |
|---|
esr (config)# ntp access-addresses NTP_Servers |
...