NTP规划与部署指导

1、ntp规划与部署指导目 录声明i技术支持i前言iv1协议简介12ntp网络设计标准12.1如何保证精确22.2如何保证安全33ntp的工作模式及适用场景分析33.1client/server模式33.2对等体symmetric active/passive模式33.3broadcast/multicast模式43.4适用场景44wan网应用配置举例5前言如果要讨论哪种协议是在互联网络中运行时间最持久、应用领域最广泛的话，我想ntp(network time protocol)绝对是一个有力竞争者！对于ntp的理解，大家的第一反应多数是两个概念：用于时间同步、路由器上面有几条命令。今天就与大家来

2、了解一下这个协议，以及在工程实施中的部署吧。ntp已经发展到了version 4，直观的感觉是这个协议来头不小，发展很快，到底它的作用是什么呢？举一个简单的例子，如果人类世界没有了时间的概念，没有了一年四季，没有了太阳的东升西落，那生活会是什么样子呢？互联网世界也是同样的道理，ntp的直接作用是用于时间的同步与调整；但是它的间接作用可就厉害了，大量应用于对时间敏感的业务之中，比如：分布式系统应用、对于sla的指标度量、电信级网络中的话单记费管理、服务器应用备份系统、互联网安全事件的日志审计那就让我们来了解一下它，并掌握它在实际工程中的部署吧1 协议简介首先来了解一下ntp的几个版本，严格上来说

3、，总共有5个版本，从0（rfc958）-4（尚未发布）；这里着重介绍一下最新的两个版本。首先是目前网络中大规模部署的version 3（rfc1305），较前3个版本，并没有对协议做重大改进，也没有撤消以前的版本及已经商用的部署，而是在继承原有结构的情况下，提出了在高速的gbit网络中如何部署更合理、更稳定、更精确的商业模型。比如完善了校验字段，降低了丢包、重传对同步的影响；完善了本地时间算法来保证稳定与精确等等。version 4主要将注意力集中到了对ipv6与osi的支持上面，比如对ipv6的anycast mode的支持，同时引入了可扩展字段等等。在这里也要顺便提一下sntp（simpl

4、e network time protocol），目前最新版本是version 4（rfc2030），用一个最简单的例子来说明一下它与ntp的明显差异：c厂商的中低端路由器仅仅支持sntp；sntp是ntp的简化版本，只支持客户侧，也就是说，只能够应用于从ntp服务器侧接收时间参数而不能向其他系统提供时间参数。sntp一般可以提供100ms误差的精确时间，而对于ntp则可以在2000km的wan网提供10ms误差的精确时间，在lan网提供1ms误差的精确时间；而且sntp协议对攻击的防范非常的薄弱，一般只能通过网络级别的access list来提供基本的安全防范。2 ntp网络设计标准既然是提

5、供时间的，当然最重要的设计标准就是保证精确与安全。首先给出一个典型ntp网络拓扑及应用示例图：采用分层（stratum）的方法来定义时钟的准确性。2.1 如何保证精确ntp设计的一个潜规则是：对于单台的time source，是氢的、是gps的、是铯的或者是石英的，无论是何种介质的，都被认为在理论上是不精确的time source。所以对于一个client，只有当与多个time source进行通讯，并从中选择了一个最优的时钟源，才会被认为是精确的。而且ntp在算法上也是根据这一原理设计的，当多个time source中出现某一个偏移量过大时，就会自动将其从time source list中删

6、除掉，以保证所同步的时间的精确性。给大家一个量化的图表，对时间的精确性有一个比较直观的印象：2.2 如何保证安全1 设置对本地路由器服务的ntp访问控制权限（access list）；2 设置ntp的md5验证。以上两个特性，vrp全部支持。3 ntp的工作模式及适用场景分析ntp共分为3类工作模式：client/server、symmetric active/passive、broadcast/multicast。在这里与大家一起来分析一下这3个工作模式与3类常用的ntp拓扑结构的配合，这3类常用ntp拓扑结构是：扁平组网、分层组网、星型组网。3.1 client/server模式该模式特点

7、是客户端只能同步到服务器，而服务器不能同步到客户端（这可是一个很重要的特性，可以防止一些人为恶意的攻击）；由client发起时间同步请求，服务器可以通过“ntp-service access+acl”来限制client的接入，当然这种限制的安全级别是很低的。这种模式被广泛的应用于互联网络当中，client向一个或多个server发出ntp请求信息，server本身不需要特殊配置（一般需要配置refclock-master），在接收到客户端的同步请求报文后，server端会自动工作在server模式，并发送应答报文；客户端在接收到多个server回复的报文后，需要进行一系列的算法，包括时钟过滤、

8、最优时钟源选择等等，最终同步到一个最优的server。3.2 对等体symmetric active/passive模式对等体模式与client/server模式的一个区别就是该模式是可以互相同步时间的，目前在互联网中的，对于层1或者是层2的时钟服务器内部相互之间都是配置为了对等体模式，好处是可以互为备份。另外，出于安全的考虑，在工程部署中必须要求对等体模式需要配置接入控制授权与md5认证。结合这两个模式的特点，给大家举一个简单例子来说明二者在实际部署时的关系以及需要注意的相关事项：在下图ntp网络组网中，首先可以看出，对于同一层次的设备运行在对等体模式，用于时钟的互相调校；对于接入time

9、source的设备一般与下级设备运行在client/server模式，用于向下级client提供时钟。r1与r2设置本地时钟作为ntp主时钟，层数为2。s3以r1、r2作为时间服务器，将其设为server模式，自己为client模式。同时，s1将s3设为对等体，自己为主动对等体模式，s3为被动对等体模式。正常情况下，s3会从r1及r2同步时间（选择最优），同步后，由于r1层数为2，则s3的层数为3。此时，非法ntp server s1将自己设置了ntp主时钟，层数为1，并主动向s3同步时钟，如果s3没有配置任何的安全措施而任由s1同步的话，它最终会从s1同步，层数为2。3.3 broadcas

10、t/multicast模式该模式应用前提有两个：充分必要条件是要求服务器端与客户端必须在一个子网内；必要不充分条件是之所以选择这种模式的关键原因，就是存在大量的客户端（比如上图中的交换机数量巨大）；为什么这样说呢，因为从配置上来看，只需要在服务器端配置自己为广播模式，而客户端不需要手工指定具体的服务器，只需要说明自己是客户就可以。但是从安全方面考虑，由于客户不指定具体的服务器，这样攻击者就非常容易将自己伪装成为一个服务器而对客户时钟发起攻击，因此安全性也是非常差的，也就是说采用该模式要求必须配置认证及安全列表。3.4 适用场景通过以上对ntp三种工作模式的分析可知，对于目前wan网模型由于广泛

11、采用分层结构，即核心层、汇接层、接入层，而且互联链路多数为sdh封装的点到点pos链路，因此推荐采用client/server模式；对于每个层内，比如对于核心层内，考虑到时钟参数的校正以及冗余备份，推荐采用对等体模式；而对于局域网内部，由于互联链路的特点（以太网广播链路）及组网特点（如星型组网），推荐采用broadcast/multicast模式。当然以上三种模式在使用时，一定要考虑到安全方面的因素，通过md5认证及接入控制授权来避免恶意攻击。4 wan网应用配置举例如图所示，在as中，最上级设备ts-1、ts-2、ts-3为时间服务器，假设为2级；r1与r2运行在ospf区域0中，为3级服务

12、器；s1、s2、s3运行在ospf区域1中；那么我们来看一下r1的配置：=ntp refclock-master 3 /说明r1为3级时钟服务器/ntp source-interface loopback 0 /缺省下采用接口地址做为发送ntp packet的地址/acl 2000 /此acl用于限制完全控制权限/ rule 10 permit source ts-1 rule 20 permit source ts-2 rule 30 permit source ts-3 rule 40 permit source r2 rule 100 deny acl 2001 /此acl用于限制访问权限/ rule 10 permit source s1 rule 20 permit source s2 rule 30 permit source s3ntp access peer 2000 /允许第2000号访问列表中的peer可以对本地设备进行时间