使用網路時間協定的最佳實踐

下載選項

PDF (685.1 KB)
在多種裝置上使用 Adobe Reader 檢視
ePub (166.4 KB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
Mobi (Kindle) (439.1 KB)
在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視

已更新: 2024 年 3 月 14 日

文件 ID:19643

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的，無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言，或引用第三方產品的語言，因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件，讓全世界的使用者能夠以自己的語言理解支援內容。請注意，即使是最佳機器翻譯，也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責，並建議一律查看原始英文文件（提供連結）。

簡介

本文檔介紹設計網路時間協定的最佳實踐。

必要條件

需求

思科建議您瞭解以下主題：

網路時間協定

時鐘技術與公共時間伺服器

採用元件

本文件所述內容不限於特定軟體和硬體版本。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

基於網際網路協議(Internet Protocol， IP)的網路已迅速從傳統盡力交付模式發展到這樣一種模式：效能和可靠性需要量化，並在很多情況下通過服務級別協定(SLA)得到保證。對深入瞭解網路特性的需求促使人們開展大量研究工作，以重要的衡量標準和衡量能力為目標，來表徵網路行為。許多度量方法的基礎是時間的度量。

網路時間同步是一項必不可少的練習，其程度達到了現代效能分析所需的程度。在業務模型和提供的服務中，網路效能的表徵被認為是區分服務的重要競爭因素。在這些情況下，部署網路管理系統並指導工程資源分析收集的效能資料會產生大量開銷。然而，如果不適當注意經常被忽視的時間同步原則，這些努力就沒有什麼效果。

本文描述網路時間協定(NTP)網路管理功能管理的假設過程定義。您可以將此文章用作假設過程和資訊性示例。組織可以對此進行定製以實現內部目標。

本檔案所提供的資料分為幾個主要部分：

Terminals部分提供了有關時間同步相關術語的一般定義。
Overview部分提供有關與系統時間相關的網元硬體的背景資訊、NTP的技術概述以及NTP體系結構的關鍵設計方面。
示例NTP部署部分提供了NTP部署示例，其中包括廣域網、高層園區和低層園區時間分配網路的配置示例。
進程定義部分概述了用於實現NTP管理的進程定義。進程詳細資訊按照目標、績效指標、輸入、輸出和單個任務進行描述。
任務定義部分提供了詳細的流程任務定義。每個任務都按照目標、任務輸入、任務輸出、完成任務所需的資源以及任務實施者所需的作業技能進行描述。
資料標識部分介紹NTP的資料標識。資料標識考慮資訊的來源。例如，資訊可以包含在簡單網路管理協定(SNMP)管理資訊庫(MIB)中、包含在系統日誌生成的日誌檔案中，或者包含在只能通過命令列介面(CLI)訪問的內部資料結構中。
資料收集部分描述了NTP資料的收集。資料的收集與資料的位置密切相關。例如，SNMP MIB資料是由多個機制(例如陷阱、遠端監控(RMON)警報和事件或輪詢)收集的。由內部資料結構維護的資料由自動指令碼收集，或者當使用者手動登入到系統以發出CLI命令並記錄輸出時。
Data Presentation部分提供如何顯示資料的報告格式示例。

技術

精度(Accuracy) — 時鐘絕對值與零偏移的接近程度。
Accurate — 時鐘偏移在特定時間時刻為零時。
偏移(Drift) — 歪斜變化中的測量，或時鐘偏移相對於時間的第二次推導。
聯合分辨率 — 在比較時鐘時，它是C1和C2的解析度之和。然後，聯合解析度指示由由一個時鐘生成的時間戳減去由另一個時鐘生成的時間戳計算的任何時間間隔的精度的保守下限。
Node — 在本地處理器上例項化NTP協定。節點也可以稱為裝置。
偏移 — 時鐘報告的時間與協調世界時(UTC)定義的實際時間之間的差異。如果時鐘報告時間Tc，並且真即時間為Tt，則時鐘偏移為Tc-Tt。
Peer — 指通過本地節點的網路路徑連線的遠端處理器上的NTP協定的例項化。
相對偏移 — 當比較兩個時鐘C1和C2時，真時間的概念被時鐘C1所報告的時間所取代。例如，時鐘C2在特定時刻相對於C1的偏移為Tc2-Tc1，即C2和C1報告的瞬時時間差。
解析度(Resolution) — 用於更新時鐘時間的最小單位。解析度是以秒為單位定義的。然而，解析度是相對於時鐘報告時間而不是相對於真即時間。例如，10毫秒的解析度表示時鐘以0.01秒的增量更新其時間概念，而不表示這是兩次更新之間的真即時間量。

附註：時鐘的解析度非常高，但仍不準確。
傾斜 — 時脈頻率差，或時脈頻率差相對於時間偏移的一階導數。
同步(Synchronize) — 當兩個時鐘彼此相對準確時（相對偏移為零），它們將被同步。時鐘可以同步，但在準確時間方面仍不準確。

概觀

裝置概述

時間服務的核心是系統時鐘。系統時鐘從系統啟動並跟蹤當前日期和時間那一刻開始運行。系統時鐘可以從多個源設定，並且反過來可以用於通過各種機制將當前時間分配到其他系統。某些路由器包含電池供電的日曆系統，可以跟蹤系統重新啟動和停電期間的日期和時間。重新啟動系統時，始終使用此日曆系統來初始化系統時鐘。也可以將其視為權威時間源，如果沒有其他可用源則通過NTP重新分配。此外，如果啟用NTP，日曆會從NTP定期更新，這樣可以補償日曆時間中的固有漂移。初始化帶有系統日曆的路由器時，系統會根據其內部電池供電日曆中的時間設定系統時鐘。在沒有日曆的模型上，系統時鐘被設定為預定的時間常數。可以從下面列出的源設定系統時鐘。

NTP
簡易網路時間通訊協定(SNTP)
虛擬整合網路服務(VINES)時間服務
手動配置

某些低端Cisco裝置僅支援SNTP。SNTP是NTP的簡化版本，僅供客戶端使用。SNTP只能從NTP伺服器接收時間，不能用於為其他系統提供時間服務。SNTP通常提供精確時間100毫秒內的時間。此外，SNTP不會對流量進行身份驗證，但您可以配置擴展訪問清單來提供一些保護。與NTP客戶端相比，SNTP客戶端更容易受到不合規伺服器的攻擊，並且只能在不需要強身份驗證的情況下使用。

系統時鐘為下面列出的服務提供了時間。

NTP
VINES時間服務
使用者show命令
日誌記錄和調試消息

系統時鐘根據UTC(也稱為格林尼治標準時間(GMT))在內部跟蹤時間。可以配置有關本地時區和夏令時的資訊，以便正確顯示相對於本地時區的時間。系統時鐘會跟蹤時間是否具有權威性。如果沒有授權，則時間只能用於顯示目的，並且不能重新分配。

NTP概述

NTP用於同步電腦網路中的時間。NTP通過使用者資料包協定(UDP)運行，埠123同時作為源和目標，這反過來又通過IP運行。NTP版本3 RFC 1305用於在一組分散式時間伺服器和客戶端之間同步計時。網路上的一組節點通過NTP進行識別和配置，這些節點形成同步子網，有時稱為重疊網路。雖然可以存在多個主伺服器，但不需要選擇協定。

NTP網路通常從權威時間源（例如連線到時間伺服器的無線電時鐘或原子時鐘）獲取其時間。然後，NTP將此時間分佈到整個網路。NTP客戶端在其輪詢間隔（64到1024秒）內與其伺服器進行事務，該事務隨時間動態變化，取決於NTP伺服器和客戶端之間的網路條件。另一種情況發生在路由器與錯誤的NTP伺服器（例如，具有大分散性的NTP伺服器）通訊時；路由器也會增加輪詢間隔。同步兩台電腦時每分鐘不需要多於一個NTP事務。

NTP使用層的概念來描述一台機器與權威時間源之間有多少NTP跳躍。例如，第1層時間伺服器直接連線了無線電時鐘或原子時鐘。然後通過NTP將其時間傳送到第2層時間伺服器，以此類推。運行NTP的電腦會自動選擇其配置為與NTP通訊的最低層數的電腦作為時間源。該策略有效地建立了NTP發言人的自組織樹。NTP在分組交換網路非確定性路徑長度方面表現很好，因為它對客戶端和時間伺服器之間的關係中接下來的三個關鍵變數進行了可靠的估計。

網路延遲
時間封包交換的分散 — 兩台主機之間最大時鐘錯誤的量度。
時鐘偏移(Clock offset) — 應用於客戶端時鐘的校正，以對其進行同步。

在長距離廣域網(WAN)（2000千米）上定期實現10毫秒級的時鐘同步，在區域網(LAN)上例行實現1毫秒級的時鐘同步。

有兩種方法可以使NTP無法與時間不準確的電腦同步。首先，NTP從不與自身未同步的電腦同步。其次，NTP會比較多台機器報告的時間，並且不會與時間明顯不同於其他機器的機器同步，即使其層級較低。

運行NTP（關聯）的電腦之間的通訊通常以靜態方式配置。每台電腦都指定了它必須與之形成關聯的所有電腦的IP地址。通過在具有關聯的每對機器之間交換的NTP消息，可以實現準確計時。但是在LAN環境中，可以將NTP配置為使用IP廣播消息。此替代方案降低了配置的複雜性，因為可以將每台電腦配置為傳送或接收廣播消息。但是，由於資訊流是單向的，因此計時準確度略有降低。

在電腦上保留的時間是一項關鍵資源，強烈建議您使用NTP的安全功能，以避免意外或惡意設定錯誤的時間。可用的兩個安全功能是基於訪問清單的限制方案和加密身份驗證機制。

Cisco的NTP實施支援某些Cisco IOS®軟體版本中的第1層服務。如果版本支援ntp refclock命令，則可以連線無線電時鐘或原子時鐘。某些版本的Cisco IOS支援Trimble Palisade NTP同步套件（僅適用於Cisco 7200系列路由器）或電信解決方案全球定位系統(GPS)裝置。如果網路使用Internet上的公共時間伺服器，並且網路與Internet隔離，Cisco的NTP實施允許對電腦進行配置，以便它像通過NTP進行同步一樣，但實際上它已通過其他方式確定時間。然後，其他電腦通過NTP與該電腦同步。

NTP設計標準

同步子網中的每台客戶機（也可以作為更高層客戶機的伺服器）都選擇其中一個可用伺服器進行同步。這通常來自它可以訪問的最低層級伺服器。但是，這並非總是最佳配置，因為NTP也是在每次伺服器時間都必須以一定程度的不信任來檢視的前提下運行的。NTP更願意訪問較低層時間的多個來源（至少三個），因為它隨後可以應用協定演算法來檢測其中任何一個的精神錯亂。通常情況下，當所有伺服器都同意時，NTP會根據最低層、最接近層（網路延遲）和要求的精度來選擇最佳伺服器。這意味著，雖然必須將目標定在給每個客戶端提供三個或更多個較低層時間源，但其中幾個可能僅提供備份服務，在網路延遲和層數方面品質可能較低。例如，一個從本地伺服器不能直接訪問的較低層源接收時間的同層對等體也可以提供良好的備份服務。

NTP通常首選較低層伺服器，而不是較高層伺服器，除非較低層伺服器的時間明顯不同。該演算法能夠檢測時間源何時可能極不準確，或極不正常，並在這些情況下阻止同步，即使不準確的時鐘位於較低層級也是如此。而且它永遠無法將裝置與自身未同步的另一台伺服器同步。

為了宣告伺服器是否可靠，需要經過多次健全性檢查，如：

實施必須包括正常超時，如果監控程式在較長的時間間隔後不更新此資訊，則正常超時可防止陷阱傳輸。
還包括額外的健全性檢查，用於身份驗證、範圍界限和避免使用非常舊的資料。
新增了檢查以警告振盪器因未從參考源進行更新而過長。
在嚴重網路擁塞的條件下，當參考源快速變化時，加入peer.valid和sys.hold變數來避免不穩定性。新增了peer.config 、 peer.authenticable和peer.authenticable位來控制特殊功能和簡化配置。

如果至少有一個檢查失敗，路由器會將其宣佈為無效。

關聯模式

下一節將介紹NTP伺服器用於相互關聯的關聯模式。

客戶端/伺服器
對稱主動/被動
廣播

客戶端/伺服器模式

從屬客戶端和伺服器通常在客戶端/伺服器模式下運行，在該模式下，客戶端或從屬伺服器可以與組成員同步，但任何組成員都無法與客戶端或從屬伺服器同步。這樣可以防止故障或協定攻擊。

客戶端/伺服器模式是最常見的Internet配置。它使用無狀態伺服器的經典遠端過程呼叫(RPC)模式運行。在此模式下，客戶端向伺服器傳送請求，並期望在未來某個時間收到回覆。在某些情況下，這被描述為輪詢操作，因為客戶端輪詢來自伺服器的時間和身份驗證資料。在客戶端模式下使用server命令和指定的域名伺服器(DNS)名稱或地址配置客戶端。伺服器不需要預先配置。

在通用客戶端/伺服器模型中，客戶端向一個或多個伺服器傳送NTP消息，並在收到回覆時對其進行處理。伺服器交換地址和埠，覆蓋消息中的某些欄位，重新計算校驗和，並立即返回消息。NTP消息中包含的資訊允許客戶端確定相對於本地時間的伺服器時間，然後根據需要調整本地時鐘。此外，該消息還包括用於計算預期計時準確性和可靠性，以及選擇最佳伺服器的資訊。

為大量客戶機提供同步的伺服器通常作為由三個或更多相互冗餘的伺服器組成的組運行，並且每個伺服器在客戶機/伺服器模式下與三個或更多第1層或第2層伺服器運行，並以對稱模式與組的所有其他成員運行。這樣可針對一個或多個伺服器無法運行或時間不正確的故障提供保護。NTP演算法經過精心設計，可在部分配置的同步源意外或故意提供不正確的時間時抵禦攻擊。在這些情況下，會使用一種特殊的投票程式來識別虛假來源並丟棄其資料。為了保證可靠性，選定的主機可以配備外部時鐘，並在主伺服器和/或輔助伺服器或其之間的通訊路徑出現故障時用於備份。

在客戶端模式下配置關聯通常由配置檔案中的伺服器宣告指示，指示您希望從遠端伺服器獲取時間，但您不想向遠端伺服器提供時間。

對稱主動/被動模式

對稱主用/被動模式適用於一組低層對等體互為備份的配置。每個對等體使用一個或多個主要參考源（例如無線電時鐘）或可靠輔助伺服器的子集進行操作。如果其中一個對等體丟失所有引用源或只是停止操作，其他對等體將自動重新配置，以便時間值可以從當前對等體流向隊列中的所有其他對等體。在某些上下文中，這被描述為推 — 拉操作，因為對等體或者根據特定配置拉入或推入時間和值。

在對稱活動模式下的關聯配置（通常由配置檔案中的對等宣告表示）向遠端伺服器表明您希望從遠端伺服器獲取時間，並且也願意在必要時向遠端伺服器提供時間。此模式適用於涉及多個通過不同網路路徑互連的冗餘時間伺服器的配置，而目前大多數Internet第1層和第2層伺服器都是這種情況。

對稱模式通常用於作為相互冗餘組的兩個或多個伺服器之間。在這些模式下，組成員中的伺服器會根據網路抖動和傳播延遲來安排同步路徑，以實現最佳效能。如果一個或多個組成員失敗，則剩餘成員會根據需要自動重新配置。

使用peer命令並在指定了另一個對等體的DNS名稱或地址時，以對稱活動模式配置對等體。另一對等點也以這種方式設定為對稱作用中模式。

附註：如果另一個對等體未以這種方式具體配置，則在對稱主動消息到達時啟用對稱被動關聯。由於入侵者可以模擬對稱活動對等體並注入錯誤的時間值，因此必須始終對對稱模式進行身份驗證。

廣播和/或組播模式

在精確性和可靠性要求不高的情況下，可將客戶端配置為使用廣播和/或組播模式。通常，具有相關客戶端的伺服器不會使用這些模式。其優點是客戶端不需要為特定伺服器進行配置，這允許所有運行中的客戶端使用相同的配置檔案。廣播模式要求廣播伺服器位於同一子網。由於路由器不會傳播廣播消息，因此只使用同一子網上的廣播伺服器。

廣播模式適用於涉及一台或多台伺服器和大量客戶端的配置。使用broadcast命令和本地子網地址配置廣播伺服器。廣播客戶端使用broadcastclient命令進行配置，該命令允許廣播客戶端響應在任何介面上接收的廣播消息。由於入侵者可以模擬廣播伺服器並注入錯誤的時間值，因此必須始終驗證此模式。

設定NTP閏秒

您可以使用ntp leap {add | delete}命令可插入閏秒。有新增或刪除閏秒的選項。發生這種情況有兩個限制：

時鐘必須處於同步狀態。
該命令僅在發生跳躍之前的月份內被接受。如果當前時間在出現跳躍1個月之前，則無法設定跳躍。

設定後，跳數秒將被新增到或刪除到最後一秒，如下所示：

NTP leap second added :
Show clock given continuously
vl-7500-6#show clock
23:59:58.123 UTC Sun Dec 31 2006
vl-7500-6#show clock
23:59:58.619 UTC Sun Dec 31 2006
vl-7500-6#show clock
23:59:59.123 UTC Sun Dec 31 2006
vl-7500-6#show clock
23:59:59.627 UTC Sun Dec 31 2006
<< 59th second occurring twice
vl-7500-6#show clock
23:59:59.131 UTC Sun Dec 31 2006    
vl-7500-6#show clock
23:59:59.627 UTC Sun Dec 31 2006
vl-7500-6#show clock
00:00:00.127 UTC Mon Jan 1 2007
vl-7500-6#show clock
00:00:00.623 UTC Mon Jan 1 2007

NTP架構

以下三種結構可用於NTP架構：

扁平對等體結構
分層結構
星型結構

在平面對等結構中，所有路由器都相互對等，將幾個地理上獨立的路由器配置為指向外部系統。使用NTP網格的每個新成員，時間的收斂時間會變長。

在分層結構中，路由分層結構被復製為NTP分層結構。核心路由器與外部時間源具有客戶端/伺服器關係，內部時間伺服器與核心路由器具有客戶端/伺服器關係，內部使用者（非時間伺服器）路由器與內部時間伺服器具有客戶端/伺服器關係，以此類推，在樹狀目錄下。這些關係稱為層次尺度。分層結構是首選技術，因為它提供了一致性、穩定性和可擴充性。

可擴展的NTP體系結構具有如下圖所示的分層結構。

Scalable NTP architecture more detail below 可擴展的NTP架構

附註：顯示可擴展的分層NTP部署的一系列圖形。第一個圖顯示了兩個NTP第2層裝置，每個裝置都連線到兩個第1層裝置（如前面的2層裝置圖所示），另一個子網中的夥伴以星號表示。另外。每個第2層裝置都有一個向下箭頭。第二個圖具有相同的佈局，但使用第2層裝置（第1層裝置所在的位置）和第3層裝置（第2層裝置所在的位置）。第三個圖有一個第4層裝置連線到三個第3層裝置。總而言之，圖中所示的拓撲是每台裝置連線到2-3台裝置，每台裝置的層數比自己的低（更好）。

在星型結構中，所有路由器都有一個客戶端/伺服器關係，核心層有少量時間伺服器。專用時間伺服器是恆星的中心，通常是與外部時間源或它們自己的GPS接收器同步的UNIX系統。

時鐘技術與公共時間伺服器

Internet NTP子網目前包括50多個公共主伺服器，通過無線電、衛星或數據機直接與UTC同步。通常，客戶端數量相對較少的客戶端工作站和伺服器不會與主伺服器同步。大約100個公共輔助伺服器與主伺服器同步，並提供與Internet上總數超過100,000個客戶端和伺服器的同步。Public NTP Time Servers清單經常更新。還有大量專用主伺服器和輔助伺服器，它們通常無法供公眾使用。

附註：PIX和ASA不能配置為NTP伺服器，但是它們可以配置為NTP客戶端。

在某些情況下，如果私有企業需要高度準確的時間服務，例如用於IP語音(VoIP)測量的單向度量，網路設計人員可以選擇部署私有外部時間源。下圖顯示了當前技術相對準確度的比較圖。

Comparative graph more detail below 比較圖

附註：一個圖，它提供了從石英（10到負8次方）到氫磁塞（10到負15次方）的時間保持方式越來越精確。後者表明在3200萬年的時間內精度損失約為1秒。這兩種方法中列出的其他方法（從最精確到最精確）有銣原子、銫、羅蘭C、GPS和CDMA。最後三個（羅蘭C、GPS和CDMA）一起列出。

由於外部時間源的高品質成本，直到最近，外部時間源的使用還沒有在企業網路中廣泛部署。但是，隨著服務品質(QoS)要求的提高以及時間技術成本的不斷降低，企業網路的外部時間源是一個可行的選擇。

NTP部署示例

WAN時間分配網路

在下一個圖中，公司自治系統(AS)從三個公共時間伺服器獲取時間資訊。公司AS顯示為區域0和區域1時間伺服器。在本示例中，NTP分層結構描述了開放最短路徑優先(OSPF)分層結構。但是，OSPF不是NTP的先決條件。它僅用作示例性示例。NTP可以沿其他邏輯分層邊界部署，例如增強型內部網關路由協定(EIGRP)分層結構或標準核心/分佈/接入分層結構。

WAN time distribution network more detail below WAN時間分配網路

附註：用於繪製跨多個網路的NTP拓撲的圖。區域1中的三個裝置(OSPF)是彼此的對等方和區域0中伺服器的客戶端。區域0中的三個裝置是彼此的對等方、公共時間伺服器的客戶端和區域1中客戶端的伺服器。公共時間伺服器只顯示為區域0中客戶端的伺服器。

本示例是裝置A0-R1的Cisco IOS配置，如前面的圖所示。

clock timezone CST -5
clock summer-time CDT recurring


!--- This router has a hardware calendar. 
!--- To configure a system as an 
!--- authoritative time source for a network 
!--- based on its hardware clock (calendar), 
!--- use the clock calendar-valid global 
!--- configuration command. Notice later that 
!--- NTP can be allowed to update the calendar 
!--- and Cisco IOS can be configured to be an 
!--- NTP master clock source. 
!--- Cisco IOS can then obtain its clock from 
!--- the hardware calendar.


clock calendar-valid


!--- This allows NTP to update the hardware 
!--- calendar chip.


ntp update-calendar


!--- Configures the Cisco IOS software as an 
!--- NTP master clock to which peers synchronize 
!--- themselves when an external NTP source is 
!--- not available. Cisco IOS can obtain the 
!--- clock from the hardware calendar based on 
!--- the previous line. This line can keep the 
!--- whole network in Sync even if Router1 loses 
!--- its signal from the Internet. Assume, for 
!--- this example, that the Internet time servers 
!--- are stratum 2.


ntp master 3


!--- When the system sends an NTP packet, the 
!--- source IP address is normally set to the 
!--- address of the interface through which the 
!--- NTP packet is sent. 
!--- Change this to use loopback0.


ntp source Loopback0


!--- Enables NTP authentication.


ntp authenticate
ntp authentication-key 1234 md5 104D000A0618 7
ntp trusted-key 1234


!--- Configures the access control groups for 
!--- the public servers and peers for additional 
!--- security.


access-list 5 permit <I-TS-1>
access-list 5 permit <I-TS-2>
access-list 5 permit <I-TS-3>
access-list 5 permit <A0-R2>
access-list 5 permit <A0-R3>
access-list 5 deny any


!--- Configures the access control groups for the 
!--- clients to this node for additional security.


access-list 6 permit <A1-R1>
access-list 6 permit <A1-R2>
access-list 6 permit <A1-R3>
access-list 6 deny any


!--- Restricts the IP addresses for the peers 
!--- and clients.

 
ntp access-group peer 5
ntp access-group serve-only 6


!--- Fault tolerant configuration polling for 3 NTP 
!--- public servers, peering with 2 local servers.


ntp server <I-TS-1>
ntp server <I-TS-2>
ntp server <I-TS-3>
ntp peer <A0-R2> 
ntp peer <A0-R3>

高層校園時間分配網路

上一節描述了WAN時間分配網路。本節在層次結構中向下移動一步，討論高層園區網路中的時間分配。

人們認為，高層園區網路中時間分佈的主要差異是廣播關聯模式的潛在用途。如前所述，廣播關聯模式簡化了LAN的配置，但降低了時間計算的準確性。因此，必須根據業績計量的準確性來考慮維護費用的權衡。

High stratum campus time distribution network more detail below 高層校園時間分配網路

附註：標題為High Stratum Campus Time Distribution Network（高層園區時間分配網路）的圖表，其中包括通用三層拓撲（主幹、分佈、接入）。接入交換機是分佈層交換機的客戶端，分佈層交換機是主幹交換機的客戶端，而主幹交換機是區域時間伺服器的客戶端（圖中未顯示）。分佈層交換器被分割成對，且只與對中的另一台交換器具有對等關係。兩個主幹交換器也是彼此對等的。四個接入交換機（左上角）顯示為帶點箭頭的廣播客戶端，而其他所有客戶端 — 伺服器和對等關係均為非廣播。

上圖中所示的高層園區網路取自標準的思科園區網路設計，包含三個元件。園區核心包含兩個標籤為CB-1和CB-2的第3層裝置。位於圖下部的伺服器元件包含兩個標籤為SD-1和SD-2的第3層路由器。伺服器塊中的其他裝置是第2層裝置。左上角有一個標準接入塊，帶有兩個標籤為dl-1和dl-2的第3層分佈裝置。其餘裝置是第2層交換機。在此客戶端訪問塊中，使用廣播選項分配時間。在右上角，還有一個使用客戶端/伺服器時間分配配置的標準訪問塊。

園區主幹裝置與客戶端/伺服器模型中的區域時間伺服器同步。

以下是dl-1第3層分佈裝置的配置：


!--- In this case, dl-1 can be a broadcast server 
!--- for the Layer 2 LAN.


internet Ethernet0
ntp broadcast

clock timezone CST -5
clock summer-time CDT recurring


!--- When the system sends an NTP packet, the 
!--- source IP address is normally set to the 
!--- address of the interface through which the 
!--- NTP packet is sent. 
!--- Change this to use loopback0.


ntp source Loopback0


!--- Enables NTP authentication.


ntp authenticate
ntp authentication-key 1234 md5 104D000A0618 7
ntp trusted-key 1234


!--- Configures the access control groups for 
!--- the public servers and peers for 
!--- additional security.


access-list 5 permit <CB-1>
access-list 5 permit <CB-2>
access-list 5 permit <dl-2>
access-list 5 deny any



!--- Restricts the IP addresses for the peers 
!--- and clients.


ntp access-group peer 5


!--- Fault tolerant configuration polling 2 
!--- local time servers and 1 local peer.


ntp server <CB-1>
ntp server <CB-2>
ntp peer <dl-2>

低層校園時間分配網路

在下圖中，在中央資料中心為低層園區網路提供GPS或銫時間源。這樣會在專用網路上調配第1層時間源。如果私有網路中有多個GPS或銫時間源，則必須修改私有網路中的時間分佈以利用可用的時間源。

通常，與先前的示例相同的原理和配置同樣適用。在這種情況下，主要區別在於，同步樹的根是專用時間源，而不是來自Internet的公用時間源。這改變了時間分配網路的設計，以利用高精度專用時間源。私有時間源分佈在整個私有網路中，其層次和模組性原則在前面的章節中已經描述。

Low stratum campus time distribution network more detail below 低層校園時間分配網路

附註：標題為「低層園區時間分配網路」的圖表，其中包括通用三層拓撲（主幹、分佈、接入）。兩個分佈交換機連線了GPS或銫鐘。直接連線到這些分佈層交換機的接入交換機和主幹交換機是這些分佈層交換機的客戶端。網路中的所有其他分佈層交換機都是骨幹交換機的客戶端，其餘的接入層交換機也是其直連分佈層交換機的客戶端。四個接入層交換機（左上角）顯示為帶點箭頭的廣播客戶端，而其他所有客戶端 — 伺服器和對等關係均為非廣播客戶端。

流程定義

流程定義是由座席執行的一系列活動、活動和更改組成的連線關係，它們旨在滿足某個目的或實現某個目標。流程控制是指計畫和調整流程，旨在有效和高效地執行流程。如下圖所示。

Series of processes more detail below 一系列流程

附註：指定此文檔使用的流程的含義的圖表。有五個地區。左側區域具有實心邊界。它包含輸入、SNMP和系統日誌。從左側區域到中心區域有一個單向箭頭。右側區域也有穩固的邊界。它包含輸出、報告和度量。從中央區域到右側區域有一個單向箭頭。頂部區域具有虛線邊框。它包含所有者、目標和績效指標。這三個區域都有帶穩定邊界的圓圈。在(a)所有者與績效指標(b)目標和績效指標(c)頂部區域和中心區域之間有雙向箭頭。底部區域也有一個虛線邊框。它包含資源和角色。兩個周圍都有帶穩定邊界的圓圈。有雙向箭頭看起來用於將資源和角色與中心區域連線，但它們停在底部區域的邊界。中心區域具有實心邊框和標題為「進程」的標題。它還包含每個Task和Sub-task之一。每個都有實心圓形邊框。任務在圓圈中的空白空間比圖形中的任何其他專案都大。

流程的輸出必須符合由組織定義的基於業務目標的操作規範。如果流程符合一組規範，則該流程被認為是有效的，因為它可以重複、衡量、管理，並且有助於實現業務目標。如果以最小的努力開展活動，那麼這一程式也被認為是有成效的。

進程所有者

流程跨越各種組織邊界。因此，必須有一個單獨的進程所有者負責該進程的定義。所有者是確定和報告流程是否有效與高效的焦點。如果流程不能有效或高效，則流程所有者將推動流程的修改。流程的修改由變更控制和審閱流程控制。

流程目標

制定流程目標以設定流程定義的方向和範圍。目標還用於定義用於衡量流程有效性的指標。

此流程的目標是提供NTP設計階段要記錄的標準，並為部署的NTP架構提供稽核功能，以確保長期符合預期設計。

流程績效指標

過程績效指標用於衡量過程定義的有效性。業績指標必須是可衡量和可量化的。例如，下面列出的績效指標可以是數字的，也可以是時間測量的。

在整個流程中循環所需的時間長度。
需要執行頻率，以便主動檢測NTP問題以免它們影響使用者。
與進程執行相關聯的網路負載。
該進程建議的更正運算元。
作為該過程的結果而實施的糾正措施的數目。
實施糾正措施所需的時間長度。
糾正操作的積壓。
與NTP相關問題有關的故障排除或問題診斷錯誤。
種子檔案中新增、刪除或修改的專案數。這是準確性和穩定性的一個指標。

流程輸入

流程輸入用於定義流程的標準和前提條件。很多情況下，識別進程輸入可以提供外部依賴性的資訊。接下來提供與NTP管理相關的輸入清單。

NTP設計文檔
SNMP輪詢收集的NTP MIB資料

處理輸出

過程輸出定義為：

本文檔的資料演示部分中定義的NTP配置報告
NTP糾正措施

任務定義

接下來的部分定義了與NTP管理關聯的初始化和迭代任務。

初始化任務

初始化任務在執行流程期間執行一次，並且不得在流程的每次迭代期間執行。

建立NTP設計

在驗證前提任務時，如果確定任何一項任務未實施或未提供足夠的資訊以有效地滿足此過程的需要，則此事實必須由流程所有者記錄並提交管理層。下表概述了先決條件初始化任務。

必備任務	說明
任務目標	為符合設計要求和成本目標的NTP架構建立詳細設計文檔。
任務輸入	設計技術經濟要求當前網路設計文檔定義要在設計中記錄的必需方面以啟用管理功能的標準 IT應用程式部署資訊效能監控要求
任務輸出	NTP設計文檔。
任務資源	網路工程師架構網路運營架構師。
任務角色	由工程和運營稽核人員審批的網路設計技術審批由負責的預算經理審批的網路設計成本。

建立種子檔案

NTP管理過程需要使用種子檔案來消除網路發現功能的需要。種子檔案記錄由NTP進程管理的路由器集，還用作協調組織中變更管理進程的焦點。例如，如果將新節點輸入網路，則需要將其新增到NTP種子檔案中。如果由於安全要求而對SNMP社群名稱進行了更改，這些修改需要在種子檔案中反映出來。下表概述了如何建立種子檔案。

必備任務	說明
任務目標	建立標識三種網路裝置類別的種子檔案：關鍵裝置 — 經常輪詢以獲取配置資訊有趣的裝置 — 輪詢頻率較低所有啟用NTP的裝置 — 輪詢最小數量
任務輸入	NTP設計文檔網路拓撲文檔。
任務輸出	種子檔案。
任務資源	設計標準，可用於確定NTP架構中涉及的節點並確定其優先順序。

基線NTP效能引數

一些可用於監控NTP網路的參數列現出一些正常的預期變化。基線化過程用於表徵正常的預期變化，並設定定義意外或異常情況的閾值。此任務用於為NTP體系結構設定變數引數集的基線。

程序	說明
任務目標	基線變數引數。
任務輸入	確定變數引數cntpSysRootDelay cntpSysRootDispersion cntpPeersRootDelay cntpPeersRootDispersion cntpPeersOffset cntpPeersDelay cntpPeersDispersion。
任務輸出	基線值和閾值。
任務資源	收集SNMP資料和計算基線的工具。
任務角色	網路工程師NMS工程師。

迭代任務

在過程的每個迭代期間執行迭代任務，並且確定和修改其頻率以便改進效能指標。

維護種子檔案

種子檔案對於NTP管理流程的有效實施至關重要。因此，必須主動管理種子檔案的當前狀態。影響種子檔案內容的網路更改需要由NTP管理進程所有者跟蹤。

程序	說明
任務目標	保持種子檔案的準確性
任務輸入	有關網路更改的資訊
任務輸出	種子檔案
任務資源	有關變更的報告、通知和會議
任務角色	網路工程師NMS工程師

執行NTP節點掃描

收集有關按此過程定義的關鍵掃描、相關掃描和配置掃描的資訊。以不同的頻率運行這三個掃描。

關鍵節點是被視為對效能收集資料點非常重要的裝置。關鍵節點掃描通常在更改之前和之後執行，例如每小時執行一次，或按需執行。感興趣的節點是被認為對NTP體系結構的整體完整性很重要，但無法在時間同步樹中收集關鍵效能資料的裝置。此報告定期執行，例如，每天或每月。配置報告是一個全面的、資源密集型報告，用於根據設計記錄描述整體NTP部署配置。此報告的執行頻率較低，例如每月或每季度。需要考慮的重點是，報告的收集頻率可以根據NTP體系結構和業務需要的穩定性進行調整。

程序	說明
任務目標	監控NTP架構
任務輸入	網路裝置資料
任務輸出	報告
任務資源	用於收集資料和生成報告的軟體應用程式
任務角色	網路工程師

檢視NTP節點報告

此任務要求檢視和分析關鍵、有意義的和配置報告。如果檢測到問題，則必須啟動糾正操作。

程序	說明
任務輸入	掃描報告
任務輸出	穩定性分析糾正措施
任務資源	訪問網路裝置以進行進一步調查和驗證
任務角色	網路工程師

資料識別

一般資料特徵

下表描述了分析NTP體系結構時被認為重要的資料。

資料	說明
節點Id	已配置NTP的裝置
同儕節點	為裝置配置的對等裝置
同步源	用於同步的所選對等體
NTP配置資料	用於判斷NTP設計一致性的引數
NTP品質資料	用於描述NTP關聯品質的引數

SNMP資料識別

Cisco NTP MIB系統群組

NTP SNMP資料由Cisco-NTP-MIB定義。有關支援此MIB的版本的當前資訊，請使用CCO Feature Navigator工具並選擇MIB Locator選項。此工具可通過語音、電話和消息傳送技術的TAC工具頁面訪問。

Cisco NTP MIB中的系統組提供了運行NTP的目標節點的資訊。目標節點是SNMP查詢的目標。

對象名稱	對象描述
cntpSysStratum	本地時鐘的層。如果值設定為1（主要引用），則在RFC-1305中第3.4.6節中介紹的主要時鐘過程呼叫。::= { cntpSystem 2 }對象識別符號= .1.3.6.1.4.1.9.9.168.1.1.2
cntpSysPrecision	有符號整數，表示系統時鐘的精度（以秒為單位），最接近的冪為2。該值必須舍入為下一個較大的冪2。例如，50-Hz(20 ms)或60-Hz(16.67 ms)的功率 — 頻率時鐘被賦值–5(31.25 ms)，而1000-Hz(1 ms)的晶體控制時鐘被賦值–9(1.95 ms)。::= { cntpSystem 3 }對象識別符號= .1.3.6.1.4.1.9.9.168.1.1.3
cntpSysRootDelay	一個帶符號的固定點編號，表示同步子網根的主參考源的總來回延遲（以秒為單位）。::= { cntpSystem 4 }對象識別符號= .1.3.6.1.4.1.9.9.168.1.1.4
cntpSysRootDispersion	相對於同步子網根上的主參考源的最大錯誤（以秒為單位）。只能使用大於零的正值。::= { cntpSystem 5 }對象識別符號= .1.3.6.1.4.1.9.9.168.1.1.4
cntpSysRefTime	上次更新本地時鐘的本地時間。如果本地時鐘從未同步，則值為零。::= { cntpSystem 7 }對象識別符號= .1.3.6.1.4.1.9.9.168.1.1.7
cntpSysPeer	當前同步源，該源包含充當同步源的對等體的cntpPeersVarTable中相應對等項的唯一關聯識別符號cntpPeersAssocId。如果沒有對等體，則值為零。::= { cntpSystem 9 }對象識別符號= .1.3.6.1.4.1.9.9.168.1.1.9
cntpSysClock	當前本地時間。本地時間源自特定機器的硬體時鐘，並根據所使用的設計以時間間隔遞增。::= { cntpSystem 10 }對象識別符號= .1.3.6.1.4.1.9.9.168.1.1.10

Cisco NTP MIB對等體組 — 對等體變數表

Cisco NTP MIB的對等組提供有關目標節點對等體的資訊。

對象名稱	對象描述
cntpPeersVarTable	此表提供有關本地NTP伺服器與之關聯的對等體的資訊。對等體也是運行在不同主機上的NTP伺服器。這是cntpPeersVarEntry ::= { cntpPeers 1 } object identifier = .1.3.6.1.4.1.9.9.168.1.2.1的表
cntpPeersVarEntry	每個對等體的條目提供從特定對等體NTP伺服器檢索的NTP資訊。每個對等體由唯一關聯識別符號標識。當使用者將NTP伺服器配置為與遠端對等體關聯時，將自動建立條目。同樣，當使用者從NTP伺服器中刪除對等關聯時，也會刪除條目。通過設定cntpPeersPeerAddress、cntpPeersHostAddress、cntpPeersMode的值並將cntpPeersEntryStatus設定為活動(1)，管理站也可以建立條目。至少，管理站必須設定cntpPeersPeerAddress的值以使行處於活動狀態。INDEX { cntpPeersAssocId } ::= { cntpPeersVarTable 1 }對象識別符號= .1.3.6.1.4.1.9.9.168.1.2.1.1
cntpPeersAssocId	大於零的整數值，用於唯一標識與本地NTP伺服器關聯的對等裝置。::= { cntpPeersVarEntry 1 }對象識別符號= .1.3.6.1.4.1.9.9.168.1.2.1.1.1
cntpPeersConfigured	這是一個位，表示關聯是根據配置資訊建立的，即使對等體變得不可訪問，也不能取消關聯。::= { cntpPeersVarEntry 2 }對象識別符號= .1.3.6.1.4.1.9.9.168.1.2.1.1.2
cntpPeersPeerAddress	對等體的IP地址。建立新關聯時，必須先設定此對象的值，然後才能使行處於活動狀態。::= { cntpPeersVarEntry 3 }對象識別符號= .1.3.6.1.4.1.9.9.168.1.2.1.1.3
cntpPeersMode	SYNTAX INTEGER { unspecified(0), symmetricActive(1), symmetricPassive(2)，客戶端(3)，伺服器(4)，廣播(5), reservedControl(6), reservedPrivate(7)}建立新的對等關聯時，如果未為此對象指定值，則預設為symmetricActive(1)。 ::= { cntpPeersVarEntry 8 } object identifier = .1.3.6.1.4.9.168.2.1.8
cntpPeersStratum	對等時鐘的分層。::= { cntpPeersVarEntry 9 }對象識別符號= .1.3.6.1.4.1.9.9.168.1.2.1.1.9
cntpPeersRootDelay	一個有符號的固定點編號，表示從對等項到同步子網根部的主要參考源的總來回延遲（秒）。::= { cntpPeersVarEntry 13 }對象識別符號= .1.3.6.1.4.1.9.9.168.1.2.1.1.13
cntpPeersRootDispersion	對等時鐘相對於同步子網根的主參考源的最大錯誤（以秒為單位）。只能使用大於零的正值。::= { cntpPeersVarEntry 14 }對象識別符號= .1.3.6.1.4.1.9.9.168.1.2.1.1.14
cntpPeersRefTime	上次更新其時鐘的對等方的本地時間。如果對等時鐘從未同步，則值為零。::= { cntpPeersVarEntry 16 }對象識別符號= .1.3.6.1.4.1.9.9.168.1.2.1.1.16
cntpPeersReach	一種移位暫存器、用於確定對等體的可達性狀態、位從最低有效位（最右端）進入。如果此暫存器中的至少一個位設定為1（對象為非零），則認為對等體可訪問。移位暫存器中的資料由NTP協定過程填充。::= { cntpPeersVarEntry 21 }對象識別符號= .1.3.6.1.4.1.9.9.168.1.2.1.1.21
cntpPeersOffset	對等時鐘相對於本地時鐘的估計偏移（以秒為單位）。主機確定使用NTP時鐘過濾器演算法的此對象的值。::= { cntpPeersVarEntry 23 }對象識別符號= .1.3.6.1.4.1.9.9.168.1.2.1.1.21
cntpPeersDelay	對等時鐘相對於本地時鐘在它們之間的網路路徑上的估計來回延遲（以秒為單位）。主機確定使用NTP時鐘過濾器演算法的此對象的值。::= { cntpPeersVarEntry 24 }對象識別符號= .1.3.6.1.4.1.9.9.168.1.2.1.1.24
cntpPeers分散	對等時鐘相對於它們之間的網路路徑上的本地時鐘的最大估計誤差（以秒為單位）。主機確定使用NTP時鐘過濾器演算法的此對象的值。::= { cntpPeersVarEntry 25 }對象識別符號= .1.3.6.1.4.1.9.9.168.1.2.1.1.25

資料收集

SNMP資料收集

此過程所需的所有資訊都可以通過SNMP查詢收集。為了分析資料並生成報告，必須開發自定義指令碼或軟體程式。

資料呈現

NTP關鍵節點報告

關鍵節點是所選效能資料收集點的同步樹中重要的裝置。如果監控有高收入VoIP服務並且收集單向延遲變化度量，則記錄時間戳的源節點和目的節點被視為關鍵節點。

在本示例中，NTP設計已建立在OSPF分層結構的示例中。因此，下面描述的報告將被格式化，以便通過裝置的OSPF區域對NTP裝置進行分組。如果節點在多個區域都有介面，則報告生成軟體必須決定可以將該節點列出哪個區域用於報告。如前所述，OSPF不是NTP的先決條件。本檔案僅將其用作說明性範例。

區域	裝置	裝置資料
AreaId #n	DeviceId #1	cntpSysStratum
		cntpSysPrecision
		cntpSysRootDelay
		cntpSysRootDispersion
		cntpSysRefTime
		cntpSysPeer
		cntpSysClock
	DeviceId #n	cntpSysStratum
		cntpSysPrecision
		cntpSysRootDelay
		cntpSysRootDispersion
		cntpSysRefTime
		cntpSysPeer
		cntpSysClock

NTP關注節點報告

相關節點報告的格式與關鍵節點報告的格式相同。感興趣的節點是被認為對整個NTP體系結構重要但不能直接促進關鍵效能監控點時間同步的節點。

NTP配置報告

配置報告是收集有關整體NTP架構資訊的綜合報告。該報告用於記錄和根據設計記錄驗證NTP部署。

區域	裝置	對等	對等體資料
AreaId #n	DeviceId #n	PeerId #1	cntpPeersAssocId
			cntpPeersConfigured
			cntpPeersPeerAddress
			cntpPeersMode
			cntpPeersStratum
			cntpPeersRootDelay
			cntpPeersRootDispersion
			cntpPeersRefTime
			cntpPeersReach
			cntpPeersOffset
			cntpPeersDelay
			cntpPeers分散
		PeerId #n	cntpPeersAssocId
			cntpPeersConfigured
			cntpPeersPeerAddress
			cntpPeersMode
			cntpPeersStratum
			cntpPeersRootDelay
			cntpPeersRootDispersion
			cntpPeersRefTime
			cntpPeersReach
			cntpPeersOffset
			cntpPeersDelay
			cntpPeers分散

修訂	發佈日期	意見
4.0	14-Mar-2024	重新認證
1.0	15-Feb-2002	初始版本