校園網時間同步技術(NTP網路時間服務器)方案
校園網時間同步技術(NTP網路時間服務器)方案
京準電子科技官微——ahjzsz
摘要:隨著網路的飛速發展,設備的日益增多,許多網路應用和網路安全對時間同步問題提出了迫切需求,因此基于NTP的時間同步解決方案成為解決這些問題的合理選擇,本文介紹了時間同步技術中的NTP協議的原理、作業模式和體系結構,并結合校園網的實際網路結構討論了NTP在校園網中的應用,
關鍵字:時間同步,網路時間協議
1、引言:
隨著網路的普及,許多單位都建了自己的園區網,使用的網路設備和服務器日益增多,這些設備都有自己的時鐘,而且是可以調節的,但是無法保證網路中的所有設備和主機的時間是同步的,因為這些時鐘每天會產生數秒、甚至數分鐘的誤差,經過長期運行,時間差會越來越大,這種偏差在單機中影響不太大,但在網路環境下的應用中可能會引發意想不到的問題,如在分布式計算環境中,由于每個主機時間不一致,會造成同一操作在不同主機的記錄時間不一致,將導致服務無法正常地進行,隨著各種網路應用的不斷發展,對時間的要求也越來越高,否則會引發許多的問題,
2、時間同步概述
將網路環境中的各種設備或主機的時間資訊(年月日時分秒)基于UTC(Universal Time Coordinated)時間偏差限定在足夠小的范圍內(如100ms),這種同步程序叫做時間同步[1],
目前,有兩種重要的時間同步技術,即網路時間協議(Network Time Protocol,NTP)協議和直接連接時間傳輸技術,其中直接連接時間傳輸技術,需要所有客戶端直接連接到標準時間源,NTP適用于網路環境下,可以在一個無序的網路環境下提供精確和健壯的時間服務,這里我們只討論基于NTP原理的時間同步技術和應用,
3、NTP作業原理和應用
3.1、NTP協議概述
NTP最早由美國Delaware大學的教授設計實作的,由時間協議、ICMP時間戳訊息及IP時間戳選項發展而來[2],NTP用于將計算機客戶或服務器的時間同步到另一服務器或參考時鐘源,它使用UTC作為時間標準,是基于無連接的IP 協議和UDP協議的應用層協議,使用層次式時間分布模型,所能取得的準確度依賴于本地時鐘硬體的精確度和對設備及行程延遲的嚴格控制,在配置時,NTP可以利用冗余服務器和多條網路路徑來獲得時間的高準確性和高可靠性,實際應用中,又有確保秒級精度的簡單的網路時間協議(Simple Network Time Protocol,SNTP),
圖1是一個UDP分組中的NTP資訊,其中,LI是潤秒插入或洗掉指示;VN是NTP協議版本號;Mode、Stratum和Precision分別代表作業模式、時鐘級別和本地鐘精度,Poll是當前發送NTP訊息的時間間隔的期望值,Root Delay表示主要參考源的總延遲,Root Dispersion表示相對于主要參考源的正常差錯,Synchronizing Distance和Synchronizing Dispersion是當前往返延遲和相對于PRS的誤差范圍,Reference Timestamp代表當前時鐘參考源的種類和最近一次更新時間,為管理目的而設立,后面三個欄位分別代表三個時間戳:Originate Timestamp發送方最后接觸包的時間,Receive Timestamp接收方收到包的時間,Transmit Timestamp接收方發送echo reply時最后接觸包的時間,Authenticator是密匙指示標志和加密的校驗盒,
圖1:UDP分組中的NTP資訊[4]
3.2、NTP的作業原理
影響NTP 協議精確度最關鍵的原因在于由網路延遲的隨機性而引起的時鐘延遲計算的不準確,由于延遲不準確,所以無法依靠從時間服務器到客戶機的單邊傳輸來傳遞精確的時間資訊,為了解決這個問題,在NTP協議中使用時間服務器和客戶機之間的雙向資訊交換和時間戳(timestamp)的概念,圖2顯示了用這種方法確定延遲和偏移的基本原理,
如圖所示,Ti,Ti-1,Ti-2,Ti-3為A、B主機之間最近的4個時間戳的值,假設:
a=Ti-2-Ti-3;b= Ti-1- Ti,那么A、B主機之間的往返傳輸延遲δi和B相對于A在Ti時刻的時間偏移量θi應該為:δi=a-b;θi=(a+b)/2
由于在網路傳輸中分組傳輸的流量不確定,可能時大時小,而且通常是以突發的方式到達客戶機,所以傳輸延遲不是一個穩態隨機程序,但是,我們可以通過對傳輸延遲的測量來對完成偏差的修正,在圖2中,B相對于A的真實時間偏移是θ,假設用x表示從A到B的真實傳輸延遲,那么有:x+b=Ti-2–Ti-3=a,由于x必須為正,即有x=a–θ≥0,所以θ≤a,同理,我們可得出b≤θ,所以有b≤θ≤a,即:b=(a+b)/2-(a-b)/2≤θ≤(a+b)/2+(a-b)/2=a,相當于:θi -(δi)/2≤θ≤θi +(δi)/2,
這意味著,真實的時鐘偏差值是以測量所得的偏差值為中心的,而其可能的變化范圍則等長于測量所得的延遲,每一條NTP訊息都包含最新的3個時間戳,第4個時間戳則由訊息的到達時刻確定,因此,服務器和客戶機都可以單獨確定時間偏移,這種對稱的連續采樣的時間傳輸方法的優點是對發送和接受的訊息的順序沒有要求,因此不需要可靠的傳輸途徑,很顯然,最終的準確度將取決于發送和接受路徑的統計特性,
3.3、NTP的作業模式
NTP的作業模式有三種:
客戶/服務器模式:客戶機周期性地向服務器請求時間資訊,服務器用來同步客戶機但不能被客戶機同步,客戶機首先向服務器發送一個NTP 包,其中包含了該包離開客戶機時的時間戳,當服務器接收到該包時,依次填入包到達時的時間戳、交換包的源地址和目的地址、填入包離開時的時間戳,然后立即把包回傳給客戶機,客戶機在接收到回應包時再填入包回傳時的時間戳,客戶機用這些時間引數就能夠計算出2個關鍵引數:包交換的往返延遲和客戶機與服務器之間的時鐘偏移,客戶機使用時鐘偏移來調整本地時鐘,以使其時間與服務器時間一致[2],
主/被動對稱模式:與客戶/服務器模式基本相同,唯一區別在于雙方均可同步對方或被對方同步,
廣播模式:沒有同步的發起方,在每個同步周期中,服務器向網路廣播廣播帶有自己時間戳的訊息包,所有的目標節點被動接收這些訊息,以此調整自己的時間,一般用于網路延時非常小,或者對時間精度要求不高的地方,如同局域網內,使用廣播模式可節省帶寬,
3.4、NTP系統體系結構
NTP采用層次式時間分布模型,網路體系結構主要包括主時間服務器、從時間服務器、客戶機和各節點之間的傳輸路徑,主時間服務器與高精度時間源進行同步,為其他節點提供時間服務,各客戶端從時間服務器經由主服務器獲得時間同步,正常情況下,節點(包括時間服務器和客戶機)只用最可靠、最準確的服務器及傳輸路徑進行同步,所以通常的同步路徑為一個層次結構,其中,主時間服務器位于根節點,其他從時間服務器隨同步精度增加而位于靠近葉子節點的層上,主機和學校服務器處于葉子節點,NTP將傳輸路徑分為主動同步路徑和備份同步路徑,兩者都同時進行時間資訊包的傳輸,但節點只用主動同步路徑資料進行同步處理[2],
圖3:客戶/服務器模式的一個實作模型[3]
該模型中,本地時鐘行程:處理由修正模塊得出的偏移量并且用NTP中專用演算法對本地時鐘的相位和頻率進行調節,傳送行程:由和每個遠端物體對應的不同定時器觸發,用以從資料庫中收集資訊,并向遠端物體發送NTP訊息,每個訊息包括發送時的本地時間戳,前一次收到的時間戳,還有用來判斷同步網路層次結構以及管理連接的資訊,接收行程:接收NTP訊息,計算出遠端時鐘和本地時鐘之間的偏移量,修正模塊:處理與各個遠端物體之間的偏移量,并用NTP中的一個演算法選擇最佳的一個,本地時鐘行程:處理由修正模塊得出的偏移量并且用NTP中專用演算法對本地時鐘進行調節,
4.NTP在校園網中的應用
在我校校園網路內,存在大量網路設備、服務器和主機,它們承載了校園網中的計費、維護、管理等功能,對時間的準確度需求比較高,要求在網路之間傳遞的資訊能夠在時間上保持高度一致,
時間同步在校園網內的應用主要集中在一下幾個方面:
1、 網路管理系統的日志審計:當網路中出現惡意攻擊行為或網路故障問題時,需要網路管理員根據有關網路設備中產生的日志進行分析和判斷,以便于查找攻擊源和對網路造成的危害及產生的原因,但是如果網路中時間不能同步,那么同一個行為在不同設備中產生的日志將不能序列化,也就無法對這些問題進行分析和解決,另外當網管中心采用多點日志記錄時,如果網路各個節點時間不同步,也將造成日志記錄的混亂,若需要這些資訊快速準確進行故障定位,準確的時間是必不可少的[1],
2、 應用認證程序:校園網內的一些應用系統及以后要建的一卡通系統,在進行用戶認證的時候,要求網路中時間必須同步,因為認證中的數字時間戳服務要求客戶端使用本地時間作為引數與認證服務器端交換認證資訊包,如果不能做到網路中的時間同步,那么系統就會遇到問題,而且認證程序中還有可能受到重放攻擊,
3、 與時間有關的應用系統:嚴格要求記錄資料提交時刻的網路應用系統,必須保證提交時間的準確性和不可更改性,另外,對客戶端進行限時操作的應用系統也要求時間同步,
4、 校園網備份系統:在備份服務器和客戶機之間進行增量備份要求這兩個系統之間的時間同步,
5、 確保系統之間的遠程系統呼叫能夠正常進行:因為為了保證一個系統呼叫不會重復進行,該系統呼叫只在一個時間間隔內有效,如果系統間的時鐘不同步,該系統呼叫可能在還沒有發生之前就因為超時而不能進行
6、 計費系統:網路計費系統中也要用到數字時間戳服務,所以也要求精確的時間同步,
校園網中各種應用系統及安全系統、網路管理系統推動了網路設備、服務器等對時間同步的需求,如果不能進行準確的時間同步,我們就得花費大量的時間來解決各種各樣的可能會出現的問題,
總而言之,時間同步技術對網路管理和網路應用是非常重要的,為了保證校園網內各設備和系統之間時間的同步,我們需要解決三方面的問題:一是盡量選取非常精確的時間源;二是將精確的時間傳送到需要時間服務的網路設備或主機,保證在傳輸程序中誤差盡量小;三是用絕對時間同步時間設備,充分利用設備各自的時間校準機制自動實作時間同步,盡量排除人工因素,
為此結合校園網實際情況,按NTP的分層結構構建一個校園時間同步網,見圖4,目前,校園網網路結構按物理范圍劃分為幾個區域,各區域有一臺三層交換機作為核心設備,這些核心設備通過網路中心的一臺核心三層交換機接入Internet,我們采用網路中心的核心設備作為Internet上已公開的時間服務器(國際時間服務器見http://www.eesic.udel.edu/ntp/;中國教育網內時間服務器見http://www.time.edu.cn/mem.htm)的客戶端,直接從Internet上的時間服務器取得準確的時間,然后做為校園網內的一級時間服務器,為整個校園網路提供時間服務;其他幾個區域內的核心設備作為網路中心核心設備的客戶端,從網路中心的核心設備上取得時間;校園網中分布層的網路設備作為核心層的客戶端,從各自所處區域的核心設備上取得時間,并為校園網內終端用戶提供時間服務,設定上一級時間服務器的配置命令如下:
(config)#ntp server x.x.x.x:其中x.x.x.x是要保持一致的上一級時間服務器的ip地址,
為了保持時間的準確性,校園網內的各種服務器一般可根據連接情況直接從最近連接的核心設備來取得時間,而各核心設備之間可以采用主/被動對稱模式作業,它們同時可以互相之間進行協調,以保持時間的一致性,設定對等關系的配置命令如下:(config)#ntp peer x.x.x.x 其中x.x.x.x為對等地位的時間服務器的ip地址
校園內的服務器根據作業系統不同,分別采用不同配置命令或軟體:對于Windows2000,可以使用Windows自帶的命令,在命令列方式下輸入:net time/set sntp :x.x.x.x 其中:x.x.x.x為時間服務器ip地址,可以有一個或多個,之間用空格分開,也可使用免費軟體,如:ntptime等,對于Linux,可采用rdate或netdate與時間服務器進行時間同步,
核心層設備的時間服務非常重要,如果受到攻擊,將會影響很大范圍的服務,所以我們可以采用設定授時驗證要求和訪問控制策略來防止對核心設備的非授權訪問和改動,以確保校園網內時間的準確、可靠和安全,對時間服務器端和對應客戶端進行的NTP配置步驟如下:
1、啟用NTP認證:
(switch-config)#ntp authenticate
2、配置NTP認證用的密碼,使用MD5加密,需要和ntp server保持一致
(switch-config)#ntp authentication key 1 md5 keyword
3、配置雙方信任的key
(switch-config)#ntp trusted – key 1
4、配置訪問控制策略,只允許對符合access-list listnumber條件主機提供時間服務
(switch-config)#ntp acess-group peer listnumber
以上命令必須在需要認證的核心設備和對應客戶端同時部署,而且配置命令必須一致:
圖4 校園時間同步網
5.總結
本文討論了NTP協議的作業原理和作業模式,并針對校園網對時間服務的需求結合校園網的實際情況提出了采用NTP協議分層模式的校園時間同步網的解決辦法,以后隨著校園網的建設,對時間服務有要求的網路應用會越來越多,在網路安全方面對時間服務的要求也會越來越高,這方面的研究還有待于深入,
摘要:隨著網路的飛速發展,設備的日益增多,許多網路應用和網路安全對時間同步問題提出了迫切需求,因此基于NTP的時間同步解決方案成為解決這些問題的合理選擇,本文介紹了時間同步技術中的NTP協議的原理、作業模式和體系結構,并結合校園網的實際網路結構討論了NTP在校園網中的應用, 關鍵字:時間同步,網路時間協議 1、引言: 隨著網路的普及,許多單位都建了自己的園區網,使用的網路設備和服務器日益增多,這些設備都有自己的時鐘,而且是可以調節的,但是無法保證網路中的所有設備和主機的時間是同步的,因為這些時鐘每天會產生數秒、甚至數分鐘的誤差,經過長期運行,時間差會越來越大,這種偏差在單機中影響不太大,但在網路環境下的應用中可能會引發意想不到的問題,如在分布式計算環境中,由于每個主機時間不一致,會造成同一操作在不同主機的記錄時間不一致,將導致服務無法正常地進行,隨著各種網路應用的不斷發展,對時間的要求也越來越高,否則會引發許多的問題, 2、時間同步概述 將網路環境中的各種設備或主機的時間資訊(年月日時分秒)基于UTC(Universal Time Coordinated)時間偏差限定在足夠小的范圍內(如100ms),這種同步程序叫做時間同步[1], 目前,有兩種重要的時間同步技術,即網路時間協議(Network Time Protocol,NTP)協議和直接連接時間傳輸技術,其中直接連接時間傳輸技術,需要所有客戶端直接連接到標準時間源,NTP適用于網路環境下,可以在一個無序的網路環境下提供精確和健壯的時間服務,這里我們只討論基于NTP原理的時間同步技術和應用, 3、NTP作業原理和應用 3.1、NTP協議概述 NTP最早由美國Delaware大學的教授設計實作的,由時間協議、ICMP時間戳訊息及IP時間戳選項發展而來[2],NTP用于將計算機客戶或服務器的時間同步到另一服務器或參考時鐘源,它使用UTC作為時間標準,是基于無連接的IP 協議和UDP協議的應用層協議,使用層次式時間分布模型,所能取得的準確度依賴于本地時鐘硬體的精確度和對設備及行程延遲的嚴格控制,在配置時,NTP可以利用冗余服務器和多條網路路徑來獲得時間的高準確性和高可靠性,實際應用中,又有確保秒級精度的簡單的網路時間協議(Simple Network Time Protocol,SNTP), 圖1是一個UDP分組中的NTP資訊,其中,LI是潤秒插入或洗掉指示;VN是NTP協議版本號;Mode、Stratum和Precision分別代表作業模式、時鐘級別和本地鐘精度,Poll是當前發送NTP訊息的時間間隔的期望值,Root Delay表示主要參考源的總延遲,Root Dispersion表示相對于主要參考源的正常差錯,Synchronizing Distance和Synchronizing Dispersion是當前往返延遲和相對于PRS的誤差范圍,Reference Timestamp代表當前時鐘參考源的種類和最近一次更新時間,為管理目的而設立,后面三個欄位分別代表三個時間戳:Originate Timestamp發送方最后接觸包的時間,Receive Timestamp接收方收到包的時間,Transmit Timestamp接收方發送echo reply時最后接觸包的時間,Authenticator是密匙指示標志和加密的校驗盒, 圖1:UDP分組中的NTP資訊[4] 3.2、NTP的作業原理 影響NTP 協議精確度最關鍵的原因在于由網路延遲的隨機性而引起的時鐘延遲計算的不準確,由于延遲不準確,所以無法依靠從時間服務器到客戶機的單邊傳輸來傳遞精確的時間資訊,為了解決這個問題,在NTP協議中使用時間服務器和客戶機之間的雙向資訊交換和時間戳(timestamp)的概念,圖2顯示了用這種方法確定延遲和偏移的基本原理, 如圖所示,Ti,Ti-1,Ti-2,Ti-3為A、B主機之間最近的4個時間戳的值,假設: a=Ti-2-Ti-3;b= Ti-1- Ti,那么A、B主機之間的往返傳輸延遲δi和B相對于A在Ti時刻的時間偏移量θi應該為:δi=a-b;θi=(a+b)/2 由于在網路傳輸中分組傳輸的流量不確定,可能時大時小,而且通常是以突發的方式到達客戶機,所以傳輸延遲不是一個穩態隨機程序,但是,我們可以通過對傳輸延遲的測量來對完成偏差的修正,在圖2中,B相對于A的真實時間偏移是θ,假設用x表示從A到B的真實傳輸延遲,那么有:x+b=Ti-2–Ti-3=a,由于x必須為正,即有x=a–θ≥0,所以θ≤a,同理,我們可得出b≤θ,所以有b≤θ≤a,即:b=(a+b)/2-(a-b)/2≤θ≤(a+b)/2+(a-b)/2=a,相當于:θi -(δi)/2≤θ≤θi +(δi)/2, 這意味著,真實的時鐘偏差值是以測量所得的偏差值為中心的,而其可能的變化范圍則等長于測量所得的延遲,每一條NTP訊息都包含最新的3個時間戳,第4個時間戳則由訊息的到達時刻確定,因此,服務器和客戶機都可以單獨確定時間偏移,這種對稱的連續采樣的時間傳輸方法的優點是對發送和接受的訊息的順序沒有要求,因此不需要可靠的傳輸途徑,很顯然,最終的準確度將取決于發送和接受路徑的統計特性, 3.3、NTP的作業模式 NTP的作業模式有三種: 客戶/服務器模式:客戶機周期性地向服務器請求時間資訊,服務器用來同步客戶機但不能被客戶機同步,客戶機首先向服務器發送一個NTP 包,其中包含了該包離開客戶機時的時間戳,當服務器接收到該包時,依次填入包到達時的時間戳、交換包的源地址和目的地址、填入包離開時的時間戳,然后立即把包回傳給客戶機,客戶機在接收到回應包時再填入包回傳時的時間戳,客戶機用這些時間引數就能夠計算出2個關鍵引數:包交換的往返延遲和客戶機與服務器之間的時鐘偏移,客戶機使用時鐘偏移來調整本地時鐘,以使其時間與服務器時間一致[2], 主/被動對稱模式:與客戶/服務器模式基本相同,唯一區別在于雙方均可同步對方或被對方同步, 廣播模式:沒有同步的發起方,在每個同步周期中,服務器向網路廣播廣播帶有自己時間戳的訊息包,所有的目標節點被動接收這些訊息,以此調整自己的時間,一般用于網路延時非常小,或者對時間精度要求不高的地方,如同局域網內,使用廣播模式可節省帶寬, 3.4、NTP系統體系結構 NTP采用層次式時間分布模型,網路體系結構主要包括主時間服務器、從時間服務器、客戶機和各節點之間的傳輸路徑,主時間服務器與高精度時間源進行同步,為其他節點提供時間服務,各客戶端從時間服務器經由主服務器獲得時間同步,正常情況下,節點(包括時間服務器和客戶機)只用最可靠、最準確的服務器及傳輸路徑進行同步,所以通常的同步路徑為一個層次結構,其中,主時間服務器位于根節點,其他從時間服務器隨同步精度增加而位于靠近葉子節點的層上,主機和學校服務器處于葉子節點,NTP將傳輸路徑分為主動同步路徑和備份同步路徑,兩者都同時進行時間資訊包的傳輸,但節點只用主動同步路徑資料進行同步處理[2], 圖3:客戶/服務器模式的一個實作模型[3] 該模型中,本地時鐘行程:處理由修正模塊得出的偏移量并且用NTP中專用演算法對本地時鐘的相位和頻率進行調節,傳送行程:由和每個遠端物體對應的不同定時器觸發,用以從資料庫中收集資訊,并向遠端物體發送NTP訊息,每個訊息包括發送時的本地時間戳,前一次收到的時間戳,還有用來判斷同步網路層次結構以及管理連接的資訊,接收行程:接收NTP訊息,計算出遠端時鐘和本地時鐘之間的偏移量,修正模塊:處理與各個遠端物體之間的偏移量,并用NTP中的一個演算法選擇最佳的一個,本地時鐘行程:處理由修正模塊得出的偏移量并且用NTP中專用演算法對本地時鐘進行調節, 4.NTP在校園網中的應用 在我校校園網路內,存在大量網路設備、服務器和主機,它們承載了校園網中的計費、維護、管理等功能,對時間的準確度需求比較高,要求在網路之間傳遞的資訊能夠在時間上保持高度一致, 時間同步在校園網內的應用主要集中在一下幾個方面: 1、網路管理系統的日志審計:當網路中出現惡意攻擊行為或網路故障問題時,需要網路管理員根據有關網路設備中產生的日志進行分析和判斷,以便于查找攻擊源和對網路造成的危害及產生的原因,但是如果網路中時間不能同步,那么同一個行為在不同設備中產生的日志將不能序列化,也就無法對這些問題進行分析和解決,另外當網管中心采用多點日志記錄時,如果網路各個節點時間不同步,也將造成日志記錄的混亂,若需要這些資訊快速準確進行故障定位,準確的時間是必不可少的[1], 2、應用認證程序:校園網內的一些應用系統及以后要建的一卡通系統,在進行用戶認證的時候,要求網路中時間必須同步,因為認證中的數字時間戳服務要求客戶端使用本地時間作為引數與認證服務器端交換認證資訊包,如果不能做到網路中的時間同步,那么系統就會遇到問題,而且認證程序中還有可能受到重放攻擊, 3、與時間有關的應用系統:嚴格要求記錄資料提交時刻的網路應用系統,必須保證提交時間的準確性和不可更改性,另外,對客戶端進行限時操作的應用系統也要求時間同步, 4、校園網備份系統:在備份服務器和客戶機之間進行增量備份要求這兩個系統之間的時間同步, 5、確保系統之間的遠程系統呼叫能夠正常進行:因為為了保證一個系統呼叫不會重復進行,該系統呼叫只在一個時間間隔內有效,如果系統間的時鐘不同步,該系統呼叫可能在還沒有發生之前就因為超時而不能進行 6、計費系統:網路計費系統中也要用到數字時間戳服務,所以也要求精確的時間同步, 校園網中各種應用系統及安全系統、網路管理系統推動了網路設備、服務器等對時間同步的需求,如果不能進行準確的時間同步,我們就得花費大量的時間來解決各種各樣的可能會出現的問題, 總而言之,時間同步技術對網路管理和網路應用是非常重要的,為了保證校園網內各設備和系統之間時間的同步,我們需要解決三方面的問題:一是盡量選取非常精確的時間源;二是將精確的時間傳送到需要時間服務的網路設備或主機,保證在傳輸程序中誤差盡量小;三是用絕對時間同步時間設備,充分利用設備各自的時間校準機制自動實作時間同步,盡量排除人工因素, 為此結合校園網實際情況,按NTP的分層結構構建一個校園時間同步網,見圖4,目前,校園網網路結構按物理范圍劃分為幾個區域,各區域有一臺三層交換機作為核心設備,這些核心設備通過網路中心的一臺核心三層交換機接入Internet,我們采用網路中心的核心設備作為Internet上已公開的時間服務器(國際時間服務器見http://www.eesic.udel.edu/ntp/;中國教育網內時間服務器見http://www.time.edu.cn/mem.htm)的客戶端,直接從Internet上的時間服務器取得準確的時間,然后做為校園網內的一級時間服務器,為整個校園網路提供時間服務;其他幾個區域內的核心設備作為網路中心核心設備的客戶端,從網路中心的核心設備上取得時間;校園網中分布層的網路設備作為核心層的客戶端,從各自所處區域的核心設備上取得時間,并為校園網內終端用戶提供時間服務,設定上一級時間服務器的配置命令如下: (config)#ntp server x.x.x.x:其中x.x.x.x是要保持一致的上一級時間服務器的ip地址, 為了保持時間的準確性,校園網內的各種服務器一般可根據連接情況直接從最近連接的核心設備來取得時間,而各核心設備之間可以采用主/被動對稱模式作業,它們同時可以互相之間進行協調,以保持時間的一致性,設定對等關系的配置命令如下:(config)#ntp peer x.x.x.x 其中x.x.x.x為對等地位的時間服務器的ip地址 校園內的服務器根據作業系統不同,分別采用不同配置命令或軟體:對于Windows2000,可以使用Windows自帶的命令,在命令列方式下輸入:net time/set sntp :x.x.x.x 其中:x.x.x.x為時間服務器ip地址,可以有一個或多個,之間用空格分開,也可使用免費軟體,如:ntptime等,對于Linux,可采用rdate或netdate與時間服務器進行時間同步, 核心層設備的時間服務非常重要,如果受到攻擊,將會影響很大范圍的服務,所以我們可以采用設定授時驗證要求和訪問控制策略來防止對核心設備的非授權訪問和改動,以確保校園網內時間的準確、可靠和安全,對時間服務器端和對應客戶端進行的NTP配置步驟如下: 1、啟用NTP認證: (switch-config)#ntp authenticate 2、配置NTP認證用的密碼,使用MD5加密,需要和ntp server保持一致 (switch-config)#ntp authentication key 1 md5 keyword 3、配置雙方信任的key (switch-config)#ntp trusted – key 1 4、配置訪問控制策略,只允許對符合access-list listnumber條件主機提供時間服務 (switch-config)#ntp acess-group peer listnumber 以上命令必須在需要認證的核心設備和對應客戶端同時部署,而且配置命令必須一致: 圖4 校園時間同步網 5.總結 本文討論了NTP協議的作業原理和作業模式,并針對校園網對時間服務的需求結合校園網的實際情況提出了采用NTP協議分層模式的校園時間同步網的解決辦法,以后隨著校園網的建設,對時間服務有要求的網路應用會越來越多,在網路安全方面對時間服務的要求也會越來越高,這方面的研究還有待于深入,
|
轉載請註明出處,本文鏈接:https://www.uj5u.com/qiye/248463.html
標籤:訊息安全