При использовании NTP настраивайте коммутатор для работы в одном из следующих режимов:
- Клиентский режим
- Симметричный активный режим
- Режим вещания
- Серверный режим
В следующих темах описывается, как настроить такие режимы работы:
Настройка коммутатора для работы в клиентский режим
Чтобы настроить локальный маршрутизатор или коммутатор для работы в клиентских режимах, включите server заявление и другие факультативные заявления на [edit system ntp] уровне иерархии:
[edit system ntp] server address key-number> value> ; authentication-key key-number type type value password; boot-server address; trusted-key[key-numbers];
Укажите адрес системы, выполняющей роль тайм-сервера. Вы должны указать адрес, а не имя хоста.
Чтобы включить ключ аутентификации во всех сообщениях, отправленных серверу time, включите ключевой вариант. Ключ соответствует ключевому номеру, который вы указываете в заявлении authentication-key , как описано в.
Forget Password Huawei Switch, Huawei S5700-10P-LI-AC , Huawei S6730-H48X6C
По умолчанию маршрутизатор или коммутатор отправляет пакеты NTP версии 4 на временный сервер. Чтобы установить уровень версии NTP до 1, 2 или 3, включить вариант .
Если вы настраиваете сервер более одного раза, вы можете отметить один сервер, предпочитаемый, включая предпочитаемый вариант.
На следующем примере показано, как настроить маршрутизатор или коммутатор для работы в клиентский режим:
[edit system ntp] authentication-key 1 type md5 value «$ABC123»; boot-server 10.1.1.1; server 10.1.1.1 key 1 prefer; trusted-key 1;
См. также
Настройка маршрутизатора или коммутатора для работы в симметричном активном режиме
Чтобы настроить локальный маршрутизатор или коммутатор для работы в симметричном активном режиме, включите peer заявление на [edit system ntp] уровне иерархии:
[edit system ntp] peer address key-number> value> ;
Укажите адрес удаленной системы. Вы должны указать адрес, а не имя хоста.
Чтобы включить ключ аутентификации во всех сообщениях, отправленных в удаленную систему, включите ключевой вариант. Ключ соответствует ключевому номеру, который вы указываете в заявлении authentication-key .
По умолчанию маршрутизатор или коммутатор отправляет пакеты NTP версии 4 в удаленную систему. Чтобы установить уровень версии NTP до 1, 2 или 3, включить вариант .
Если вы настраиваете более одной удаленной системы, вы можете отметить одну систему, предпочитаемую, включая предпочитаемый вариант:
peer address key-number> value> prefer;
См. также
Настройка маршрутизатора или коммутатора для работы в режиме вещания
Чтобы настроить локальный маршрутизатор или коммутатор для работы в режиме вещания, включите broadcast заявление на [edit system ntp] уровне иерархии:
[edit system ntp] broadcast address key-number> value> value>;
Укажите адрес вещания в одной из локальных сетей или адрес многоадресной передачи, назначенный NTP. Вы должны указать адрес, а не имя хоста. Если используется адрес многоадресной передачи, он должен быть 224.0.1.1.
How to Configure Stacking on Huawei S5700 Series Switches
Чтобы включить ключ аутентификации во всех сообщениях, отправленных в удаленную систему, включите ключевой вариант. Ключ соответствует ключевому номеру, который вы указываете в заявлении authentication-key .
По умолчанию маршрутизатор или коммутатор отправляет пакеты NTP версии 4 в удаленную систему. Чтобы установить уровень версии NTP до 1, 2 или 3, включить вариант.
См. также
Настройка маршрутизатора или коммутатора для работы в серверном режиме
В серверном режиме маршрутизатор или коммутатор выступает в качестве сервера NTP для клиентов, когда клиенты настроены надлежащим образом. Единственным условием для «серверного режима» является то, что маршрутизатор или коммутатор должны получать время от другого пира или сервера NTP. Никакая другая конфигурация на маршрутизаторе или коммутаторе не требуется.
При настройке сервиса NTP в управлении VRF ( mgmt_junos ) необходимо настроить по крайней мере один IP-адрес в физическом или логическом интерфейсе в экземпляре маршрутизации по умолчанию и обеспечить работу этого интерфейса для работы сервиса NTP с mgmt_junos VRF.
Чтобы настроить локальный маршрутизатор или коммутатор для работы в качестве сервера NTP, включите следующие заявления на [edit system ntp] уровне иерархии:
[edit system ntp] authentication-key key-number type type value password; server address key-number> value> ; trusted-key [key-numbers];
Укажите адрес системы, выполняющей роль тайм-сервера. Вы должны указать адрес, а не имя хоста.
Чтобы включить ключ аутентификации во всех сообщениях, отправленных серверу time, включите ключевой вариант. Ключ соответствует ключевому номеру, который вы указываете в заявлении authentication-key .
По умолчанию маршрутизатор или коммутатор отправляет пакеты NTP версии 4 на временный сервер. Чтобы установить уровень версии NTP до 1,2 или 3, включить вариант .
Если вы настраиваете сервер более одного раза, вы можете отметить один сервер, предпочитаемый, включая предпочитаемый вариант.
На следующем примере показано, как настроить маршрутизатор или коммутатор для работы в серверном режиме:
[edit system ntp] authentication-key 1 type md5 value «$ABC123»; server 192.168.27.46 prefer; trusted-key 1;
Источник: www.juniper.net
NTP сервер на Linux Ubuntu
Опубликовано: 12.01.2018
Тематические термины: NTP, Linux, Ubuntu. Следить за актуальностью времени на всех узлах локальной сети удобнее с помощью сервера синхронизации времени NTP. В инструкции рассказано об установке и настройке такого сервера на Linux Ubuntu Server 16.04. Данное руководство можно использовать для настройки ntpd на любом другом Linux (например, Debian или CentOS).
Установка сервера
Устанавливаем ntp сервер следующей командой:
apt-get install ntp
Разрешаем автозапуск и стартуем сервис:
systemctl enable ntp || update-rc.d ntp defaults
systemctl start ntp || service ntp start
Настройка NTP
Открываем файл с настройками:
vi /etc/ntp.conf
Настраиваем серверы, с которых наш NTP будет брать эталонное время. Например:
pool ru.pool.ntp.org iburst
server ntp2.vniiftri.ru iburst prefer
pool 0.ubuntu.pool.ntp.org iburst
pool 1.ubuntu.pool.ntp.org iburst
server 127.127.1.0
* iburst — отправлять несколько пакетов (повышает точность); ru.pool.ntp.org / 0.ubuntu.pool.ntp.org / 1.ubuntu.pool.ntp.org — адреса серверов, с которыми наш сервер будет сверять время; server — указывает на выполнение синхронизации с сервером, а не пулом серверов; prefer — указывает на предпочитаемый сервер. server 127.127.1.0 — позволит в случае отказа сети Интернет брать время из своих системных часов. Настраиваем безопасность:
restrict default kod notrap nomodify nopeer noquery
restrict 192.168.0.0 mask 255.255.255.0 nomodify notrap
restrict 127.0.0.1
restrict ::1
- restrict default — задает значение по умолчанию для всех рестриктов.
- kod — узлам, которые часто отправляют запросы сначала отправить поцелуй смерти (kiss of death), затем отключить от сервера.
- notrap — не принимать управляющие команды.
- nomodify — запрещает команды, которые могут вносить изменения состояния.
- nopeer — не синхронизироваться с хостом.
- noquery — не принимать запросы.
- restrict 192.168.0.0 mask 255.255.255.0 — разрешить синхронизацию для узлов в сети 192.168.0.0/24.
- IP адреса127.0.0.1 и ::1 позволяют обмен данные серверу с самим собой.
Настройки по умолчанию могут быть разные для IPv4 и IPv6:
restrict -4 default kod notrap nomodify nopeer noquery
restrict -6 default kod notrap nomodify nopeer noquery
systemctl restart ntp || service restart ntp
Если используется брандмауэр, добавляем правило:
iptables -I INPUT 1 -p udp —dport 123 -j ACCEPT
или с помощью ufw:
ufw allow in on enp2s0 to any port 123 proto udp
* где enp2s0 — сетевой интерфейс, на котором слушает наш сервер.
Дополнительные настройки
Настройка файла хранения логов:
Тестирование
Проверить состояние получения эталонного времени можно командой:
Как установить и настроить NTP на сервере
Работа многих служб ОС зависит от того, насколько точны системные часы. Для чего нужна эта точность? Затем, что неточное время на сервере повлечет за собой много неприятностей.
В качестве примера приведем следующий: если в локальной сети часы машин, которые совместно используют файлы, не будут синхронизированы, то нельзя будет установить время изменения файлов. Из-за этого возникнет конфликт версий или перезаписи данных. Без установки точного времени на сервере появятся и сложности с задачами Cron – непонятно, когда они запустятся. Невозможно будет проанализировать журналы системных событий, чтобы понять причины неисправностей и сбоев.
Для того чтобы эти неприятности не возникли, нужно наладить синхронизацию системных часов. Для этого используется протокол NTP (Network Time Protocol).
Как устроен протокол NTP
Протокол NTP основан на иерархической структуре сервера точного времени, где выделены разные уровни. К нулевому уровню, на котором NTP-серверы не работают, относятся так называемые эталонные часы.
С ними синхронизируются NTP серверы уровня 1, являющиеся источниками для серверов уровня 2. Серверы второго уровня синхронизируются с серверами первого уровня, но еще могут синхронизироваться между собой. Точно так же функционируют серверы третьего уровня и ниже. В целом, поддерживается порядка 256 уровней.
Иерархическая структура NTP является отказоустойчивой и избыточной. Так, резервные серверы берут синхронизацию на себя, когда речь идет об отказах соединения с вышестоящими серверами. Для расчета точного времени NTP берет данные ото всех источников, синхронизируясь с несколькими серверами.
Комьюнити теперь в Телеграм
Подпишитесь и будьте в курсе последних IT-новостей
Как установить и настроить NTP-сервер
Чтобы синхронизировать время, используют демон ntpd, который может быть как сервером, принимающим время из удаленных хостов, так и клиентом, раздающим время сторонним хостам. Демон ntpd зависит от указанных в файле конфигурации настроек.
Для установки сервера NTP используется стандартный менеджер пакетов $ sudo apt-get install ntp.
После установки все необходимые настройки NTP будут находиться в файле /etc/ntp.conf.
Первая строчка файла конфигурации – driftfile /var/lib/ntp/ntp.drift. В ней указан файл, в котором хранится информация о том, как часто смещается время. В этом же файле содержится и значение, которое было получено из предыдущих изменений времени. Если по каким-то причинам внешние NTP-серверы недоступны, знание берут из этого файла.
После этого нужно указать файл, сохраняющий логи синхронизации – logfile /var/log/ntp.log.
В файле конфигурации нужно указать перечень серверов NTP, с которыми нужно синхронизироваться. По умолчанию этот перечень выглядит вот так:
- server 0.ubuntu.pool.ntp.org
- server 1.ubuntu.pool.ntp.org
- server 2.ubuntu.pool.ntp.org
- server 3.ubuntu.pool.ntp.org
Эти строки означают группу серверов, которые сообщают серверу верное время. Через опцию iburst можно увеличить точность синхронизации, то есть указать то, что на сервер необходимо отправлять несколько пакетов вместо одного:
- server 0.ubuntu.pool.ntp.org iburst
- server 1.ubuntu.pool.ntp.org iburst
- server 2.ubuntu.pool.ntp.org iburst
- server 3.ubuntu.pool.ntp.org iburst
Еще можно донести информацию о нужном сервере через опцию prefer:
server 0.ubuntu.pool.ntp.org iburst prefer
Ареал использования серверов NTP
Такие серверы есть во всем мире, но обычно синхронизация происходит с NTP-серверами именно того ареала, где физически находится ваш сервер. Таким образом, в файле конфигурации /etc/ntp.conf указывается поддомен ареала (региона) для pool.ntp.org:
- Азия – asia.pool.ntp.org
- Европа – europe.pool.ntp org
- Африка – africa.pool.ntp.org
- Северная Америка – north-america.pool.ntp.org
- Южная Америка – south-america.pool.ntp.org
- Океания – oceania.pool.ntp.org
- Россия – ru.pool.ntp.org
Резервный сервер точного времени
NTP-сервер, по какой-либо причине отключенный от интернета, может передавать для синхронизации данные своих системных часов. Для этого в конфигурационный файл нужно добавить следующую строку:
server 127.127.1.0
Особые случаи использования NTP
Например, NTP могут использовать, чтобы усилить трафик в DDoS-атаках. А чтобы избежать столкновения с различными злоупотреблениями, следует ограничить доступ для внешних клиентов. Говоря об ограничениях, то по умолчанию в /etc/ntp.conf файле выставлены такие:
- restrict − 4 default kod notrap nomodify nopeer noquery
- restrict − 6 default kod notrap nomodify nopeer noquery
Такие опции, как nomodify, notrap, nopeer и noquery, не позволяют внешним клиентам менять конфигурации на сервере. Параметр kod (расшифровывается как kiss of death, «смертельный поцелуй») дает дополнительный уровень защиты: клиент, который часто отправляет запросы, получает сперва kod-пакет, являющийся предупреждением о том, что в обслуживании отказано, а потом отключается от сервера.
Для синхронизации машин из локальной сети с сервером NTP в файл конфигурации добавляется такая строчка:
restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap
А для локального хоста устанавливается неограниченный доступ к серверу NTP:
restrict 127.127.1.0
Как проверить синхронизацию
После сохранения всех изменений в файле конфигурации NTP-сервер нужно перезагрузить:
$ service restart ntp
А затем выполнить команду:
$ ntpq -p
На выходе получится таблица, в которой указаны следующие параметры:
- remote – адрес сервера точного времени;
- refid – вышестоящий сервер;
- st – уровень (stratum) сервера;
- t – тип пира (u- unicast, m- multicast);
- when – время последней синхронизации;
- poll – время в секундах, за которое демон NTP синхронизируется с пиром;
- reach – состояние доступности сервера;
- delay – время задержки ответа от сервера;
- offset – временная разница между сервером и сервером синхронизации;
- jitter – смещение времени на удаленном сервере.
Слева от адреса сервера могут быть указаны еще и такие символы:
- * – сервер выбран для синхронизации;
- + – сервер, пригодный для синхронизации;
- – – с сервером синхронизироваться не стоит;
- х – сервер недоступен.
Чтобы проверить, насколько сервер подходит для синхронизации, нужно использовать команду ntpdate -q.
Как установить локальные дату и время
Чтобы установить локальные дату и время на сервере, нужно использовать команду ntpdate, при этом отправив необходимый запрос к серверу NTP:
$ ntpdate -u 192.168.1.1
Статус ntpd проверяется при помощи команды:
Источник: timeweb.com