NTP規(guī)劃與部署指導(dǎo)

1、華為產(chǎn)品維護資料移動智能網(wǎng)ssp簡介2006/07/12ntp規(guī)劃與部署指導(dǎo)目 錄聲明i技術(shù)支持i前言iv1協(xié)議簡介12ntp網(wǎng)絡(luò)設(shè)計標準12.1如何保證精確22.2如何保證安全33ntp的工作模式及適用場景分析33.1client/server模式33.2對等體symmetric active/passive模式33.3broadcast/multicast模式43.4適用場景44wan網(wǎng)應(yīng)用配置舉例5前言如果要討論哪種協(xié)議是在互聯(lián)網(wǎng)絡(luò)中運行時間最持久、應(yīng)用領(lǐng)域最廣泛的話，我想ntp(network time protocol)絕對是一個有力競爭者！對于ntp的理解，大家的第一反應(yīng)多數(shù)是兩個

2、概念：用于時間同步、路由器上面有幾條命令。今天就與大家來了解一下這個協(xié)議，以及在工程實施中的部署吧。ntp已經(jīng)發(fā)展到了version 4，直觀的感覺是這個協(xié)議來頭不小，發(fā)展很快，到底它的作用是什么呢？舉一個簡單的例子，如果人類世界沒有了時間的概念，沒有了一年四季，沒有了太陽的東升西落，那生活會是什么樣子呢？互聯(lián)網(wǎng)世界也是同樣的道理，ntp的直接作用是用于時間的同步與調(diào)整；但是它的間接作用可就厲害了，大量應(yīng)用于對時間敏感的業(yè)務(wù)之中，比如：分布式系統(tǒng)應(yīng)用、對于sla的指標度量、電信級網(wǎng)絡(luò)中的話單記費管理、服務(wù)器應(yīng)用備份系統(tǒng)、互聯(lián)網(wǎng)安全事件的日志審計那就讓我們來了解一下它，并掌握它在實際工程中的部署

3、吧61 協(xié)議簡介首先來了解一下ntp的幾個版本，嚴格上來說，總共有5個版本，從0（rfc958）-4（尚未發(fā)布）；這里著重介紹一下最新的兩個版本。首先是目前網(wǎng)絡(luò)中大規(guī)模部署的version 3（rfc1305），較前3個版本，并沒有對協(xié)議做重大改進，也沒有撤消以前的版本及已經(jīng)商用的部署，而是在繼承原有結(jié)構(gòu)的情況下，提出了在高速的gbit網(wǎng)絡(luò)中如何部署更合理、更穩(wěn)定、更精確的商業(yè)模型。比如完善了校驗字段，降低了丟包、重傳對同步的影響；完善了本地時間算法來保證穩(wěn)定與精確等等。version 4主要將注意力集中到了對ipv6與osi的支持上面，比如對ipv6的anycast mode的支持，同時引入

4、了可擴展字段等等。在這里也要順便提一下sntp（simple network time protocol），目前最新版本是version 4（rfc2030），用一個最簡單的例子來說明一下它與ntp的明顯差異：c廠商的中低端路由器僅僅支持sntp；sntp是ntp的簡化版本，只支持客戶側(cè)，也就是說，只能夠應(yīng)用于從ntp服務(wù)器側(cè)接收時間參數(shù)而不能向其他系統(tǒng)提供時間參數(shù)。sntp一般可以提供100ms誤差的精確時間，而對于ntp則可以在2000km的wan網(wǎng)提供10ms誤差的精確時間，在lan網(wǎng)提供1ms誤差的精確時間；而且sntp協(xié)議對攻擊的防范非常的薄弱，一般只能通過網(wǎng)絡(luò)級別的access l

5、ist來提供基本的安全防范。2 ntp網(wǎng)絡(luò)設(shè)計標準既然是提供時間的，當(dāng)然最重要的設(shè)計標準就是保證精確與安全。首先給出一個典型ntp網(wǎng)絡(luò)拓撲及應(yīng)用示例圖：采用分層（stratum）的方法來定義時鐘的準確性。2.1 如何保證精確ntp設(shè)計的一個潛規(guī)則是：對于單臺的time source，是氫的、是gps的、是銫的或者是石英的，無論是何種介質(zhì)的，都被認為在理論上是不精確的time source。所以對于一個client，只有當(dāng)與多個time source進行通訊，并從中選擇了一個最優(yōu)的時鐘源，才會被認為是精確的。而且ntp在算法上也是根據(jù)這一原理設(shè)計的，當(dāng)多個time source中出現(xiàn)某一個偏移量

6、過大時，就會自動將其從time source list中刪除掉，以保證所同步的時間的精確性。給大家一個量化的圖表，對時間的精確性有一個比較直觀的印象：2.2 如何保證安全1 設(shè)置對本地路由器服務(wù)的ntp訪問控制權(quán)限（access list）；2 設(shè)置ntp的md5驗證。以上兩個特性，vrp全部支持。3 ntp的工作模式及適用場景分析ntp共分為3類工作模式：client/server、symmetric active/passive、broadcast/multicast。在這里與大家一起來分析一下這3個工作模式與3類常用的ntp拓撲結(jié)構(gòu)的配合，這3類常用ntp拓撲結(jié)構(gòu)是：扁平組網(wǎng)、分層組網(wǎng)、

7、星型組網(wǎng)。3.1 client/server模式該模式特點是客戶端只能同步到服務(wù)器，而服務(wù)器不能同步到客戶端（這可是一個很重要的特性，可以防止一些人為惡意的攻擊）；由client發(fā)起時間同步請求，服務(wù)器可以通過“ntp-service access+acl”來限制client的接入，當(dāng)然這種限制的安全級別是很低的。這種模式被廣泛的應(yīng)用于互聯(lián)網(wǎng)絡(luò)當(dāng)中，client向一個或多個server發(fā)出ntp請求信息，server本身不需要特殊配置（一般需要配置refclock-master），在接收到客戶端的同步請求報文后，server端會自動工作在server模式，并發(fā)送應(yīng)答報文；客戶端在接收到多個se

8、rver回復(fù)的報文后，需要進行一系列的算法，包括時鐘過濾、最優(yōu)時鐘源選擇等等，最終同步到一個最優(yōu)的server。3.2 對等體symmetric active/passive模式對等體模式與client/server模式的一個區(qū)別就是該模式是可以互相同步時間的，目前在互聯(lián)網(wǎng)中的，對于層1或者是層2的時鐘服務(wù)器內(nèi)部相互之間都是配置為了對等體模式，好處是可以互為備份。另外，出于安全的考慮，在工程部署中必須要求對等體模式需要配置接入控制授權(quán)與md5認證。結(jié)合這兩個模式的特點，給大家舉一個簡單例子來說明二者在實際部署時的關(guān)系以及需要注意的相關(guān)事項：在下圖ntp網(wǎng)絡(luò)組網(wǎng)中，首先可以看出，對于同一層次的設(shè)

9、備運行在對等體模式，用于時鐘的互相調(diào)校；對于接入time source的設(shè)備一般與下級設(shè)備運行在client/server模式，用于向下級client提供時鐘。r1與r2設(shè)置本地時鐘作為ntp主時鐘，層數(shù)為2。s3以r1、r2作為時間服務(wù)器，將其設(shè)為server模式，自己為client模式。同時，s1將s3設(shè)為對等體，自己為主動對等體模式，s3為被動對等體模式。正常情況下，s3會從r1及r2同步時間（選擇最優(yōu)），同步后，由于r1層數(shù)為2，則s3的層數(shù)為3。此時，非法ntp server s1將自己設(shè)置了ntp主時鐘，層數(shù)為1，并主動向s3同步時鐘，如果s3沒有配置任何的安全措施而任由s1同步的

10、話，它最終會從s1同步，層數(shù)為2。3.3 broadcast/multicast模式該模式應(yīng)用前提有兩個：充分必要條件是要求服務(wù)器端與客戶端必須在一個子網(wǎng)內(nèi)；必要不充分條件是之所以選擇這種模式的關(guān)鍵原因，就是存在大量的客戶端（比如上圖中的交換機數(shù)量巨大）；為什么這樣說呢，因為從配置上來看，只需要在服務(wù)器端配置自己為廣播模式，而客戶端不需要手工指定具體的服務(wù)器，只需要說明自己是客戶就可以。但是從安全方面考慮，由于客戶不指定具體的服務(wù)器，這樣攻擊者就非常容易將自己偽裝成為一個服務(wù)器而對客戶時鐘發(fā)起攻擊，因此安全性也是非常差的，也就是說采用該模式要求必須配置認證及安全列表。3.4 適用場景通過以上對

11、ntp三種工作模式的分析可知，對于目前wan網(wǎng)模型由于廣泛采用分層結(jié)構(gòu)，即核心層、匯接層、接入層，而且互聯(lián)鏈路多數(shù)為sdh封裝的點到點pos鏈路，因此推薦采用client/server模式；對于每個層內(nèi)，比如對于核心層內(nèi)，考慮到時鐘參數(shù)的校正以及冗余備份，推薦采用對等體模式；而對于局域網(wǎng)內(nèi)部，由于互聯(lián)鏈路的特點（以太網(wǎng)廣播鏈路）及組網(wǎng)特點（如星型組網(wǎng)），推薦采用broadcast/multicast模式。當(dāng)然以上三種模式在使用時，一定要考慮到安全方面的因素，通過md5認證及接入控制授權(quán)來避免惡意攻擊。4 wan網(wǎng)應(yīng)用配置舉例如圖所示，在as中，最上級設(shè)備ts-1、ts-2、ts-3為時間服務(wù)器

12、，假設(shè)為2級；r1與r2運行在ospf區(qū)域0中，為3級服務(wù)器；s1、s2、s3運行在ospf區(qū)域1中；那么我們來看一下r1的配置：=ntp refclock-master 3 /說明r1為3級時鐘服務(wù)器/ntp source-interface loopback 0 /缺省下采用接口地址做為發(fā)送ntp packet的地址/acl 2000 /此acl用于限制完全控制權(quán)限/ rule 10 permit source ts-1 rule 20 permit source ts-2 rule 30 permit source ts-3 rule 40 permit source r2 rule 100 deny acl 2001 /此acl用于限制訪問權(quán)限/ rule 10 permit source s1 rule 20 permit source s2 rule 30 permit source s3ntp access peer 2000 /允許第2000號訪問列表中的peer可以對本地設(shè)備進行時