NTP（网络时间协议）基础及服务配置

1.NTP简介

背景：网络时间协议(network time protocol，NTP)由美国德拉瓦大学的David L Mills教授于1985年提出，是用于设计使Internet上的计算机保持时间同步的一种通信协议。

• 由RFC1305定义的时间同步协议
• 在分布式时间服务器和客户端之间进行时间同步
• 基于UDP报文传输，端口号123
• 采用分层的方法来定义时钟的准确度
• 支持访问控制和MD5加密验证
• 可以采用单播、组播或广播方式发送协议报文

时钟层的概念：时钟的层数决定了时钟的准确度，取值范围0——15。参考时钟的层数取值范围为0～15，准确度从0到15依次递减，层数0处于子网特殊位置，是基准时间的参考源，目前普遍采用GPS的UTC时间源。

2.NTP工作原理

通过交换时间服务器和客户端的时间段，计算出客户端相对于服务器的时延和偏差，从而实现时间的同步。

3.NTP工作模式

根据网络结构和交换机在以太网中的位置，交换机共4种NTP工作模式进行时间同步。

• 服务器/客户端模式（server/client）
• 对等体模式（symmetric active / symmetric passive）
• 广播模式（broadcast server / broadcast client）
• 组播模式（multicast server / muticast client）

4.应用建议

• 尽量在本地局域网部署SNTP服务器，Internet上公用的SNTP服务器时延具有不确定性，会对授时精度产生影响。
• 客户端授时请求大于1min，以免SNTP服务器负载过量，无法及时响应。
• 高可靠性系统中，最好配置多台SNTP服务器，利用DNS实现负载均衡。
• 客户端应能够识别服务器故障，一旦发现故障，应丢弃时间戳，转向其他服务器请求授时。

5.NTP服务部署框架

internet NTP服务器----局域网NTP服务器---局域网NTP客户端

Internet NTP服务器

查询Internet NTP服务器：https://www.ntppool.org

中国所在时区：https://www.ntppool.org/zone/cn

0.cn.pool.ntp.org

1.cn.pool.ntp.org

2.cn.pool.ntp.org

3.cn.pool.ntp.org

6.局域网NTP服务器配置

网络适配器NAT模式

查询是否安装ntp软件包：rpm -qa | grep ntp

设置时区：cp /usr/share/zoneinfo/Aisa/Shanghai /etc/localtime

修改系统时间，与Internet时间同步：date 080110002019.00        ntpdate  0.cn.pool.ntp.org 

将硬件时间修改到与系统时间相同

修改/etc/ntp.conf主配置文件

a）driftfile参数：解决NTP服务器校准时间时的传送延迟

     driftfile /var/lib/ntp/drift

b）restrict参数：权限的控制（局域网ntp服务器需修改，ntp客户端可不用修改）

格式：restrict IP mask 掩码 参数

用途：IP规定了允许或不允许访问的地址（此处若为default，即为0.0.0.0所有ip），配合掩码可以对某一网段进行限制。

restrict参数包括：

ignore：关闭所有NTP服务

nomodify：客户端不能修改服务器的时间，但可以作为客户端的校正服务器

noquery：不提供时间查询（用户端不能用ntpq、ntpc命令）

nopeer：不与同一层的其他服务器进行时间同步

kod：kod技术可以阻止”kiss of death”包（一种DNS攻击）对服务器的破坏

notrap：不提供trap远端事件登录的功能（远程事件日志记录程序）

对应默认配置项：

 restrict default kod nomodify notrap nopeer noquery 

 #默认对所有client拒绝所有的操作

 restrict -6 default kod nomodify notrap nopeer noquery

 restrict 127.0.0.1  #允许本机地址的一切操作

 restrict -6 ::1

 restrict -6：限制IPv6

 c）server参数：设定上级时间服务器（局域网ntp服务器和客户端都需要配置）

格式： server IP地址或域名 [prefer]

用途：

• 为该NTP服务器指定的上级NTP服务器。
• 当指定多个NTP服务器时
• 使用prefer参数的服务器优先级最高
• 未使用prefer参数，优先级则按从上到下的顺序依次由高到低

默认配置项：

server 0.rhel.pool.ntp.org iburst

server 1.rhel.pool.ntp.org iburst

server 2.rhel.pool.ntp.org iburst

server 3.rhel.pool.ntp.org iburst

注释，并添加内容如下：

修改/etc/sysconfig/ntpd文件

让ntp服务修改硬件时间

添加语句：SYNC_HWCLOCK=yes

修改/etc/ntp/step-tickers

当ntpd服务启动，或重启时，自动与该文件中记录的上层NTP服务进行时间校对

查看ntp客户端是否与ntp服务器时间同步：ntpstat

将ntp服务加入开机自启动：chkconfig ntpd on

控制ntp服务：

开启NTP服务

查看NTP服务状态

关闭NTP服务

重启NTP服务

7.常用命令

• ntpstat：查看ntp服务器有无和上层ntp连通
• ntpq –p命令：该命令可以列出目前我们的NTP与相关的上层NTP的状态
• remote：即NTP主机的IP或主机名称。注意最左边的符号，如果由“+”则代表目前正在作用钟的上层NTP，如果是“*”则表示也有连上线，不过是作为次要联机的NTP主机。
• refid：参考的上一层NTP主机的地址
• st：即stratum阶层（0-15）
• when：几秒前曾做过时间同步更新的操作
• poll：下次更新在几秒之后
• jitter：Linux系统时间与BIOS硬件时间的差异时间
• reach：已经向上层NTP服务器要求更新的次数
• delay：网络传输过程钟延迟的时间
• offset：时间补偿的结果

watch “ntpq –p”命令：结果同上

8.局域网客户端配置

检查是否安装ntp： rpm -qa | grep ntp

同步系统时间、并修改硬件时间ntpdate

服务器端：

修改/etc/ntp.conf主配置文件（注释并添加）

server  局域网NTP服务器IP  prefer

server  局域网NTP服务器IP

注:ntp客户端不用修改restrict参数

修改/etc/ntp/step-tickers,添加server：

       局域网NTP服务器IP

       局域网NTP服务器IP

修改/etc/sysconfig/ntpd，使其自动修改将硬件时间：SYNC_HWCLOCK=yes

是否开机自启动：chkconfig   ntpd  on

启动服务并查看状态