NTP（网络时间协议）

来源：刷钻/

Network Time Protocol（NTP）是用来使计算机时间同步化的一种协议，它可以使计算机对其服务器或时钟源（如石英钟，GPS等等）做同步化，它可以提供高精准度的时间校正（LAN上与标准间差小于1毫秒，WAN上几十毫秒），且可介由加密确认的方式来防止恶毒的协议攻击

NTP共有3种版本：NTP v1/v2/v3默认NTPv3

NTP两种服务模式包含3种工作模式：

一。基于轮询的配置1.server/client模式：服务器和客户模式中，客户端会轮询配置中的所有NTP服务器，然后从中选中一个优先级最高的服务器来同步时钟。

为了避免轮询机制的定期轮询造成的路由器效率下降，所以引用层次的概念来减小定期轮询的范围，共15个层次，Cisco不支持第一层时钟服务。底层的会向高层的同步时间，并且在服务器和客户模式中，底层的路由器只能向高于自己一层的时间源同步数据。

2.Symmetric Active/Passive对称模式：对称模式中路由器轮询已配置的时间服务器以获得当前时间，同时发送时间到时间服务器，该模式通常用于同一层次的NTP服务器组的自身。

二。基于广播的配置

Broadcast广播模式：

在广播客户端模式，客户端主动接听来自NTP服务器广播。所以很明显，要使这种模式工作，客户端和服务器端必须在同一子网。一般用于大型2层网络中特别是带宽、内存、CPU等资源受限制的网络。

轮询机制的NTP

ntp server ip_address[version number][key keyid][source interface][prefer]

ntp peer ip_address[version number][key keyid][source interface][prefer]

Version：NTP版本号1/2/3默认3NTP v3使用UDP123

Source interface：指定NTP同步时钟的源地址如不指定源将以来自源的物理口地址

Perfer：如果对等服务器之间存在竞争，那么关键字Prefer 将强迫本地路由器提供时间同步如果路由器将和另一个NTP时钟源同步，则建立一个服务器连接如果路由器不但与另一个设备同步，并且允许其他设备和此路由器同步，应配置对等体

对路由器NTP服务的访问控制：ntp access-group{query-only |serve-only|serve|peer}access-list-number

serve-only：只允许时间请求允许访问控制列表上的ip地址请求时间。路由器不向远程系统同步时间serve：允许请求和查询但是不和远程对等服务器保持同步允许时间请求和控制查询，路由器不向远程系统同步时间query-only：只允许查询控制允许发出NTP控制查询。控制查询用在监视NTP进程的SNMP管理站peer：允许时

间请求和控制查询，并允许路由器从远程系统同步时间

NTP安全机制：

1.使用访问控制列表来限制对路由器的NTP资源的访问。

2.使用带有MD5的散列函数的认证来限制相互信任的设备间的通信。

NTP的认证：

NTP支持认证，用于验证从其他NTP设备接收到的NTP消息。MD5用于生成加密校验和（使用两侧均知道的密钥），被附加在NTP消息中。

Router（config）#ntp authenticate

启动NTP认证

Router（config）#ntp authentication-key number md5value 定义密钥的引用号码和认证密文（必须在远程NTP设备上配置同样的加密密文）

可以定义多个KEY，并且每一个KEY均会有一个编号、认证类型、密文。正常情况下认证类型永远是MD5

Router（config）#ntp trusted-key key-number

定义认证是信任那个key.

配置实例：

Make sure that the clock of R2gets synchronized to the clock of R1，meeting the requirements：R2has a stratum of 1.Synchronization is done as long as there is an active path

between the e the Loopback0as the source interface.Updates are authenticated.

R1：

ntp master2

ntp source loopback0

ntp authenticate

ntp authentication-key1md5cisco

ntp trusted-key1

R2：

ntp server YY.YY.1.1key1source loopback0

ntp authenticate

ntp authentication-key1md5cisco

ntp trusted-key1

Show ntp Status