10.1 NTP协议简介
网络时间协议(Network Time Protocol,简称NTP)是用来在整个网络内发布精确时间的TCP/IP协议,其本身的传输基于UDP。其基本原理如下:
上图所示的是NTP基本工作原理,防火墙A和防火墙B通过网络相连,它们都有自己独立的系统时钟,要实现各自系统时钟的自动同步,作如下假设:
z 在防火墙A和B的系统时钟同步之前,防火墙A的时钟设定为10:00:00am,防火墙B的时钟设定为11:00:00am。
z 以防火墙B为NTP时间服务器,即防火墙A将使自己的时钟与防火墙B的时钟同步。
z 数据包在防火墙A和B之间单向传输所需要的时间为1秒。系统时钟同步的工作过程如下:
z 防火墙A发送一个NTP消息包给防火墙B,该消息包带有它离开防火墙A时的时间戳,该时间戳为10:00:00am(T1)。
z 当此NTP消息包到达防火墙B时,防火墙B加上自己的时间戳,该时间戳为11:00:01am(T2)。
当此NTP消息包离开防火墙B时,防火墙B再加上自己的时间戳,该时间戳为11:00:02am(T3)。
z 当防火墙A接收到该响应消息包时,加上一个新的时间戳,该时间戳为10:00:03am(T4)。
至此,防火墙A已经拥有足够的信息,来计算两个重要的参数:
z NTP消息来回一个周期的时延Delay=(T4-T1)-(T3-T2)。
z 防火墙A相对防火墙B的时间差offset=((T2-T1)+(T3-T4))/2。
这样,防火墙A就能够根据这些信息,来设定自己的时钟,使之与防火墙B的时钟同步。这只是NTP工作原理的一个粗略描述,在RFC1305规范中,NTP使用复杂的算法,来确保时钟同步的精确性。
根据网络结构以及防火墙在网络中的位置,NTP有六种工作模式,其中前两种模式也称单播模式。
z 设置远程服务器为本地时间服务器,此时本地防火墙工作在client模式。在这种工作模式下,只能是本地客户机同步到远程服务器,而远程服务器不会同步到本地客户机;
z 设置远程服务器作为本地防火墙的对等体,本地运行在symmetric active模式(即主动模式)在。这种配置下,本地服务器能同步到远程服务器(被动模式),远程服务器也能同步到本地服务器。如果双方都有参考时钟,以层数小的为准;
z 设置本地防火墙的一个接口发送NTP的广播消息包,此时,本地防火墙工作在广播服务器模式;
z 设置本地防火墙的一个接口接收NTP的广播信息包,此时,本地防火墙工作在广播客户模式;
z 设置本地防火墙的一个接口发送NTP组播消息包,本地防火墙运行在组播服务器模式;
z 设置本地防火墙的一个接口接收NTP组播消息包,本地防火墙运行在组播客户模式。
前两种模式,也即单播模式,支持NTP多实例,可以实现MPLS VPN网络的时间同步,即物理位置不同的网络设备(CE、PE),只要属于同一个VPN,就可以通过MPLS VPN相连来获得时间同步。具体功能如下:
z CE上的NTP Client可以同步到PE上NTP Server;
z PE上的NTP Client可以通过指定的VPN实例同步到CE上的NTP Server;PE上的NTP Server可以支持同步多个不同CE上的NTP Client。
10.2 NTP协议配置
NTP协议用于整个网络内的时间同步,NTP配置包括:
z 配置NTP工作模式
z 设置NTP身份验证功能
z 设置本地发送NTP消息的接口
z 设置本地时钟作为NTP主时钟
z 允许/禁止接口接收NTP消息
z 设置对本地防火墙服务的访问控制权限
z 设置本地允许建立的sessionss的数目
10.2.1 配置NTP工作模式
根据网络结构以及防火墙在网络中的位置,可设置六种NTP工作模式。
z 配置NTP服务器模式
z 配置NTP对等体模式
z 配置NTP广播服务器模式
z 配置NTP广播客户模式
z 配置NTP组播服务器模式
z 配置NTP组播客户模式
关于NTP的配置请参考网内的另一文章。你可以使用关键字 NTP的配置 来查看
