论文部分内容阅读
随着电子政务的不断发展,许多省份都建了自己的电子政务网络,使用的网络设备和服务器日益增多,这些设备都有自己的时钟,是可以调节的,因此网络中的所有设备和主机的时间无法保证是同步的。经过长期运行,时间差会越来越大,这种偏差在单机中影响不太大,但随着各种网络应用的不断发展,对时间的要求也越来越高,时间不同步会引发许多意想不到的问题。现在结合笔者工作中的实际网络结构,讨论NTP在政务网中的解决方案。
什么是网络时间服务
时钟同步也叫“对钟”。在通信领域,“同步”概念是指频率的同步,即网络各个节点的时钟频率和相位同步,其误差应符合标准的规定。时间同步是指网络各个节点时钟以及通过网络连接的各个应用界面的时钟的时刻和时间间隔与协调世界时(UTC)同步,最起码在全国范围内要和北京时间同步。时间同步网络是保证时间同步的基础,构成时间同步网络可以采取有线方式,也可以采取无线方式。
TCP/IP协议中,用于同步时间的协议为Ntp协议,它是由美国德拉瓦大学的David L.Mills教授于1985年提出,是设计用来使Internet上的计算机保持时间同步的一种通信协议,其本身的传输基于U D P,保留端口号123。网络时间协议可以估算出数据包在Intemet上的往返延迟,并可独立地估算计算机时钟偏差,从而实现网络上计算机问可靠和精确的时间同步。网络时间协议(NTP)是一个动态的、稳定的和容错的协议,用来保证网络中所有设备的时钟精确度误差在1ms之内。此协议首先在RFC958中定义,自此NTP协议被不断修改以增加更多的冗余和安全特性。其他的与时间同步相关的RFC有RFC1128,RFC1129,RFC1165,RFC1305.RFC2030。
也许有人认为电脑的时钟有点误差影响不大,其实这是非常错误的。电脑系统中的文件保存、文件传输、电子邮箱中的时间戳都是以电脑时钟为准的。如果今后我们想进行文件查找、日志查询,如果系统时钟不准,或同一网络中的电脑时间不同步,将给后续工作带来许多麻烦。现在许多备份软件、编译软件、ftp工具都是以文件保存时间为依据进行比较的,如果时间不统一,将使这些软件难以正常工作。
在网络管理中,我们在检查网络中各种网管软件系统运行情况的时候,或者服务器日志时,发现由于不同设备上的系统时间不同,想要通过log 信息(console输出或syslog记录)观察某一事件对各设备影响的情况、先后顺序等很不方便,这个问题也可以通过配置NTP来解决。 NTP (Network Time Protocol) 为路由器、交换机和工作站之间提供了一种时间同步的机制。时间同步了,多台网络设备上的相关事件记录可以放在一起看,更为清晰,方便了分析较复杂的故障和安全事件等。另外政务网中的认证、维护、管理、备份系统等应用对时间的准确度要求比较高,如交换机及计费对时间准确度要求为1s,网络管理系统对时间准确度要求为500ms。
时间服务的工作模式有三种,即客户/服务器模式、广播模式和对称模式。
在客户/服务器模式(Server/Client mode)下,客户端以周期性地向一个或几个服务器发送NTP包,请求时间信息,根据所交换的信息,计算两地时间偏差和网络延迟,从中选择认为最准确的时间偏差,并调整本地的时钟。首先,客户端发给时间服务器请求,记录下T1值;时间服务器接收到请求后记录下T2值,并在时间T3给予回复。然后,客户端接收到时间服务器的回复后,记录下时间T4。最后,客户端再根据回复数据包中的T1、T2、T3以及T4计算得到本地时钟偏移值t。在这个模式中,NTP的客户端提供了复杂的算法,这些算法可以从多个服务器的响应包中判断出最接近真实时间的偏移值。所以客户/服务器模式在NTP各个模式中的对时精度是最高的,适用于大型的分布式网络。
广播模式(Multicast/Broadcast mode)即客户端不需要向时间服务器发送请求,时间服务器定期向网络发送时间广播服务包;客户端在监听方式下接收到时间服务器发来的时间包后,校准时间。广播模式的优点:一是可以减少时间服务器的数量,实施方便;二是可以达到全网时间的准确同步。缺点:一是发送广播流会影响网络的性能;二是客户端无法计算服务器和客户端之间的传播延时,准确度较低,只能满足秒级应用。此种模式适用于高速的局域网中。
对称模式(Symmetric mode),即两个以上的时间服务器互为主从,进行时间消息的通讯,相互校正对方的时间,以维持整个同步子网的时间一致性。
政务网中时间服务器的搭建
(一)时间服务的体系结构
为了保证时间的精确和服务质量,政务网中时间服务的体系采用树形结构。第一层是一级时间服务器,它采用政务网时间服务器作为时钟信号,为二层和省级政务网的网络设备提供时钟同步;第二层是二级时间服务器,为三层和本市级政务网的网络设备提供时间同步服务;第三层是三级时间服务器,为本县级政务网的网络设备提供时间同步服务。
时间服务器的层数和数目要选择合理。由于每经过一层要产生一次时钟误差,所以层数不宜过多。但是,过多的时间请求又会影响到时间服务器的工作性能,因此不能为了追求时间的准确性而减少层数或二级服务器的数目。
结合江西省政务网的实际情况,按照NTP的分层结构,构建政务网时间同步网共分三层,如右上图所示。
第一层以省级网管中心核心路由器作为时间服务器,与政务网时间源服务器(该服务器与中国顶级时间源cn.pool.ntp.org同步)进行同步,作为政务网网内的一级时间服务器,是整个系统的基础,为第二层和省级其他路由器、交换机、防火墙等网络设备提供时钟同步。
第二层是各设区市级核心路由器。为第一层时间服务器的客户端取得时间,为第三层本市辖区县级路由器和本市路由器、交换机、防火墙等市级城域网网络设备提供时间服务。
第三层是个县级核心路由器。为第二层时间服务器的客户端取得时间,为本县级路由器、交换机、防火墙等县级城域网网络设备提供时间服务。
政务网时间源服务器用一台服务网实现,该服务器与中国顶级时间源cn.pool.ntp.org进行同步,作为政务网内时间源,为政务网第一层设备提供时间同步服务,同时为全省政务网内服务器,PC服务器提供时间同步服务。
另外,出于对可靠性的考虑,下层设备可同时引用若干个上层设备作为参考源,也可以引用同层设备作为参考源。网络中的设备可以扮演多重角色,例如一个第二级的市级核心路由器,对于第一级设备省级核心路由器来说是客户机,对于第三级本市所辖县级核心路由器可能是服务器,对于其他设区市级的设备则可以是对等机(相互用NTP进行同步)。
省、市、县核心路由器作为时间服务器非常重要,如果受到攻击,将会影响很大范围的服务。为了提高系统的安全性,可以采用设置授时验证要求和访问控制策略,防止对核心设备的非授权访问和改动,确保政务网内时间的准确、可靠和安全。因ntp协议利用的是设备的udp 123端口来通信,为保证网络的安全,可在路由器上进行设备访问控制列表,只允许访问网络中各设备的123端口来保证。通过ACL的设置,只允许与NTP协议有关的数据流在网络间交互,从而有效的保证网络间的安全。
(二)时间服务器在政务网中的具体实现
政务网时间源服务器的实现,以LINUX REDHAT 9.0为例:
第一步:检查是否已经安装有ntp软件包。输入“rpm -qa|grep ntp”,如果已经安装应该显示“ntp-4.1.2-0.rc1”。
第二步:安装ntp软件,从ftp://ftp.redhat.com下载rpm包,输入“rpm -ivh ntp-xxx.rpm”执行安装。
第三步:配置ntp服务。备份原/etc/ntp.conf文件后,修改配置文件/etc/ntp.conf,设置以下几个参数:
server 用来同步时间的上级服务器,网上有很多免费的。
restrict 设置访问权限(注意restrict default ignore一定要注释掉)
server cn.pool.ntp.org
server pool.ntp.org
restrict 192.168.0.0 mask 255.255.255.0 notrust nomodify notrap
我们这里2行server是为了提供连接冗余,当第一个地址cn.pool.ntp.org连接失败时,后面的地址pool.ntp.org提供时间服务,注意这里的pool.ntp.org对应一组IP地址,由DNS随机分配,当然还可以添加更多的server。restrict意思是允许192.168网段的机器访问服务器,但不允许他们修改。
第四步:启动ntp服务。输入“service ntp restart”。
为了保证以后Linux机启动后ntp服务能自动启动,还要输入“chkconfig ntpd on”。Linux下的ntp软件不但能自动与互联网上的时钟保持同步,同时本身已经是一台SNTP服务器了,可以供局域网内的电脑校对时间。建议启动 NTP服务后,先用date命令手工校正一下时间,以后系统会自动与互联网上的主时间服务器保持同步。ntp服务还有一个好处,如果当前系统的时间与标准时间有所误差,它不是马上把时间校正,而是逐步缩小与标准时间的误差,以免系统内部出现时间突变。
网络设备下NTP时间服务器的实现(以CISCO IOS为例):
NTP的时钟源在一般的情况下也可以使用路由器上的时钟。高档的路由器/交换机上提供了硬件时钟,称为calendat,与clock相互独立,在系统重启时clock使用calendar的值。可以用命令calendar set设置硬件时钟的值,用命令clock read-calendar将系统时钟设置为calendar的值,也可以用命令clock update-calendar将当前系统时钟值写入calendar中。
在客户端,用ntp master x.x.x.x 指定NTP服务器地址(CatOS:set ntp server x.x.x.x),用命令ntp update update-calendar 可以让NTP协议定时更新calendar的值。如果更改了时钟源的时间,需要数分钟才能同步到客户端,更新calendar需要更长的时间。常用的调试命令有:show ntp status 和show ntp associations等。
在Cisco网络系统中的NTP配置需要用到的命令及定义:
ntp access-group: 该全局命令用于路由器N T P服务的访问控制。
ntp authenticate: 是一个全局命令,它启用N T P身份验证。
ntp authentication-key: 该全局命令用于定义N T P身份验证的键值。
ntp broadcast: 是一个接口命令,用于指定一特定接口来发送N T P广播包。
ntp broadcast client: 是一个接口命令,使路由器通过特定接口来接收N T P广播包。
ntp broadcast delay: 是一个全局命令,它用于设定数据包在路由器和N T P服务器之间一个回程所需时间的估计值。
ntp clock-period: 这条全局命令不必输入,当使用N T P进行系统时钟同步时,路由器将自动产生这条命令。
ntp disable: 这条接口命令使特定接口不接收N T P包。
ntp master: 这条全局命令用来配置路由器为N T P主时钟,只有当没有可用的外部N T P源或者为测试用途才使用该命令。
ntp peer: 该全局命令使路由器的系统时钟与其对等体的时钟同步(或对对等体的时钟进行同步)。
ntp server: 该全局命令使路由器的系统时钟由时间服务器进行同步。
ntp source: 该全局命令强制路由器在其N T P包中使用特定的源地址。
ntp trusted-key: 该全局命令用于确认路由器的特定身份验证键值。
ntp update-calendar: 该全局命令使N T P周期性地更新Cisco 7XXX 系列路由器的日历。
show ntp status: 是一执行模式命令,用于显示路由器的N T P信息,它可以表明该路由器是通过N T P对等体进行时钟同步还是通过N T P服务器进行同步。
show ntp association[detail]: 这条执行模式命令显示与N T P有关的信息,如轮询周期等。
应用中应注意的问题
校时周期。一般计算机内部时钟精度是每天误差约10秒左右。为了校准时钟,必须经常与时间服务器进行时钟校对,校时周期可设定为300分钟。过短、过频的校时请求,会加重时间服务器和客户机本身的负荷;过长的校时请求,会增大时间误差。最好的方式是根据客户机本身的时钟精度和对时钟要求的精确度,来确定校时周期。
时钟精度。一台计算机的时间精度是恒定的。时间服务器只能为客户机提供标准时间供客户机校时,并不能改变客户机本身的时钟走时精度。因为如果客户机本身内部时钟精度太低,如每小时误差十几秒,当采用时间服务器校时时,这台计算机上的时钟就会出现明显跳跃现象,记录的日志也会有时间段空白或重叠问题。因此,对于内部时钟精度太低的计算机,我们不能用作时间服务器或用于记录关键日志。
计算机病毒。目前已经有了专门攻击时间服务器的计算机病毒。一旦病毒感染计算机,就会向网络中的时间服务器不断地发送大量的时间服务请求。但是,过多的时间服务请求会造成服务器瘫痪。
(作者单位:江西省政务信息网网管中心)
什么是网络时间服务
时钟同步也叫“对钟”。在通信领域,“同步”概念是指频率的同步,即网络各个节点的时钟频率和相位同步,其误差应符合标准的规定。时间同步是指网络各个节点时钟以及通过网络连接的各个应用界面的时钟的时刻和时间间隔与协调世界时(UTC)同步,最起码在全国范围内要和北京时间同步。时间同步网络是保证时间同步的基础,构成时间同步网络可以采取有线方式,也可以采取无线方式。
TCP/IP协议中,用于同步时间的协议为Ntp协议,它是由美国德拉瓦大学的David L.Mills教授于1985年提出,是设计用来使Internet上的计算机保持时间同步的一种通信协议,其本身的传输基于U D P,保留端口号123。网络时间协议可以估算出数据包在Intemet上的往返延迟,并可独立地估算计算机时钟偏差,从而实现网络上计算机问可靠和精确的时间同步。网络时间协议(NTP)是一个动态的、稳定的和容错的协议,用来保证网络中所有设备的时钟精确度误差在1ms之内。此协议首先在RFC958中定义,自此NTP协议被不断修改以增加更多的冗余和安全特性。其他的与时间同步相关的RFC有RFC1128,RFC1129,RFC1165,RFC1305.RFC2030。
也许有人认为电脑的时钟有点误差影响不大,其实这是非常错误的。电脑系统中的文件保存、文件传输、电子邮箱中的时间戳都是以电脑时钟为准的。如果今后我们想进行文件查找、日志查询,如果系统时钟不准,或同一网络中的电脑时间不同步,将给后续工作带来许多麻烦。现在许多备份软件、编译软件、ftp工具都是以文件保存时间为依据进行比较的,如果时间不统一,将使这些软件难以正常工作。
在网络管理中,我们在检查网络中各种网管软件系统运行情况的时候,或者服务器日志时,发现由于不同设备上的系统时间不同,想要通过log 信息(console输出或syslog记录)观察某一事件对各设备影响的情况、先后顺序等很不方便,这个问题也可以通过配置NTP来解决。 NTP (Network Time Protocol) 为路由器、交换机和工作站之间提供了一种时间同步的机制。时间同步了,多台网络设备上的相关事件记录可以放在一起看,更为清晰,方便了分析较复杂的故障和安全事件等。另外政务网中的认证、维护、管理、备份系统等应用对时间的准确度要求比较高,如交换机及计费对时间准确度要求为1s,网络管理系统对时间准确度要求为500ms。
时间服务的工作模式有三种,即客户/服务器模式、广播模式和对称模式。
在客户/服务器模式(Server/Client mode)下,客户端以周期性地向一个或几个服务器发送NTP包,请求时间信息,根据所交换的信息,计算两地时间偏差和网络延迟,从中选择认为最准确的时间偏差,并调整本地的时钟。首先,客户端发给时间服务器请求,记录下T1值;时间服务器接收到请求后记录下T2值,并在时间T3给予回复。然后,客户端接收到时间服务器的回复后,记录下时间T4。最后,客户端再根据回复数据包中的T1、T2、T3以及T4计算得到本地时钟偏移值t。在这个模式中,NTP的客户端提供了复杂的算法,这些算法可以从多个服务器的响应包中判断出最接近真实时间的偏移值。所以客户/服务器模式在NTP各个模式中的对时精度是最高的,适用于大型的分布式网络。
广播模式(Multicast/Broadcast mode)即客户端不需要向时间服务器发送请求,时间服务器定期向网络发送时间广播服务包;客户端在监听方式下接收到时间服务器发来的时间包后,校准时间。广播模式的优点:一是可以减少时间服务器的数量,实施方便;二是可以达到全网时间的准确同步。缺点:一是发送广播流会影响网络的性能;二是客户端无法计算服务器和客户端之间的传播延时,准确度较低,只能满足秒级应用。此种模式适用于高速的局域网中。
对称模式(Symmetric mode),即两个以上的时间服务器互为主从,进行时间消息的通讯,相互校正对方的时间,以维持整个同步子网的时间一致性。
政务网中时间服务器的搭建
(一)时间服务的体系结构
为了保证时间的精确和服务质量,政务网中时间服务的体系采用树形结构。第一层是一级时间服务器,它采用政务网时间服务器作为时钟信号,为二层和省级政务网的网络设备提供时钟同步;第二层是二级时间服务器,为三层和本市级政务网的网络设备提供时间同步服务;第三层是三级时间服务器,为本县级政务网的网络设备提供时间同步服务。
时间服务器的层数和数目要选择合理。由于每经过一层要产生一次时钟误差,所以层数不宜过多。但是,过多的时间请求又会影响到时间服务器的工作性能,因此不能为了追求时间的准确性而减少层数或二级服务器的数目。
结合江西省政务网的实际情况,按照NTP的分层结构,构建政务网时间同步网共分三层,如右上图所示。
第一层以省级网管中心核心路由器作为时间服务器,与政务网时间源服务器(该服务器与中国顶级时间源cn.pool.ntp.org同步)进行同步,作为政务网网内的一级时间服务器,是整个系统的基础,为第二层和省级其他路由器、交换机、防火墙等网络设备提供时钟同步。
第二层是各设区市级核心路由器。为第一层时间服务器的客户端取得时间,为第三层本市辖区县级路由器和本市路由器、交换机、防火墙等市级城域网网络设备提供时间服务。
第三层是个县级核心路由器。为第二层时间服务器的客户端取得时间,为本县级路由器、交换机、防火墙等县级城域网网络设备提供时间服务。
政务网时间源服务器用一台服务网实现,该服务器与中国顶级时间源cn.pool.ntp.org进行同步,作为政务网内时间源,为政务网第一层设备提供时间同步服务,同时为全省政务网内服务器,PC服务器提供时间同步服务。
另外,出于对可靠性的考虑,下层设备可同时引用若干个上层设备作为参考源,也可以引用同层设备作为参考源。网络中的设备可以扮演多重角色,例如一个第二级的市级核心路由器,对于第一级设备省级核心路由器来说是客户机,对于第三级本市所辖县级核心路由器可能是服务器,对于其他设区市级的设备则可以是对等机(相互用NTP进行同步)。
省、市、县核心路由器作为时间服务器非常重要,如果受到攻击,将会影响很大范围的服务。为了提高系统的安全性,可以采用设置授时验证要求和访问控制策略,防止对核心设备的非授权访问和改动,确保政务网内时间的准确、可靠和安全。因ntp协议利用的是设备的udp 123端口来通信,为保证网络的安全,可在路由器上进行设备访问控制列表,只允许访问网络中各设备的123端口来保证。通过ACL的设置,只允许与NTP协议有关的数据流在网络间交互,从而有效的保证网络间的安全。
(二)时间服务器在政务网中的具体实现
政务网时间源服务器的实现,以LINUX REDHAT 9.0为例:
第一步:检查是否已经安装有ntp软件包。输入“rpm -qa|grep ntp”,如果已经安装应该显示“ntp-4.1.2-0.rc1”。
第二步:安装ntp软件,从ftp://ftp.redhat.com下载rpm包,输入“rpm -ivh ntp-xxx.rpm”执行安装。
第三步:配置ntp服务。备份原/etc/ntp.conf文件后,修改配置文件/etc/ntp.conf,设置以下几个参数:
server 用来同步时间的上级服务器,网上有很多免费的。
restrict 设置访问权限(注意restrict default ignore一定要注释掉)
server cn.pool.ntp.org
server pool.ntp.org
restrict 192.168.0.0 mask 255.255.255.0 notrust nomodify notrap
我们这里2行server是为了提供连接冗余,当第一个地址cn.pool.ntp.org连接失败时,后面的地址pool.ntp.org提供时间服务,注意这里的pool.ntp.org对应一组IP地址,由DNS随机分配,当然还可以添加更多的server。restrict意思是允许192.168网段的机器访问服务器,但不允许他们修改。
第四步:启动ntp服务。输入“service ntp restart”。
为了保证以后Linux机启动后ntp服务能自动启动,还要输入“chkconfig ntpd on”。Linux下的ntp软件不但能自动与互联网上的时钟保持同步,同时本身已经是一台SNTP服务器了,可以供局域网内的电脑校对时间。建议启动 NTP服务后,先用date命令手工校正一下时间,以后系统会自动与互联网上的主时间服务器保持同步。ntp服务还有一个好处,如果当前系统的时间与标准时间有所误差,它不是马上把时间校正,而是逐步缩小与标准时间的误差,以免系统内部出现时间突变。
网络设备下NTP时间服务器的实现(以CISCO IOS为例):
NTP的时钟源在一般的情况下也可以使用路由器上的时钟。高档的路由器/交换机上提供了硬件时钟,称为calendat,与clock相互独立,在系统重启时clock使用calendar的值。可以用命令calendar set设置硬件时钟的值,用命令clock read-calendar将系统时钟设置为calendar的值,也可以用命令clock update-calendar将当前系统时钟值写入calendar中。
在客户端,用ntp master x.x.x.x 指定NTP服务器地址(CatOS:set ntp server x.x.x.x),用命令ntp update update-calendar 可以让NTP协议定时更新calendar的值。如果更改了时钟源的时间,需要数分钟才能同步到客户端,更新calendar需要更长的时间。常用的调试命令有:show ntp status 和show ntp associations等。
在Cisco网络系统中的NTP配置需要用到的命令及定义:
ntp access-group: 该全局命令用于路由器N T P服务的访问控制。
ntp authenticate: 是一个全局命令,它启用N T P身份验证。
ntp authentication-key: 该全局命令用于定义N T P身份验证的键值。
ntp broadcast: 是一个接口命令,用于指定一特定接口来发送N T P广播包。
ntp broadcast client: 是一个接口命令,使路由器通过特定接口来接收N T P广播包。
ntp broadcast delay: 是一个全局命令,它用于设定数据包在路由器和N T P服务器之间一个回程所需时间的估计值。
ntp clock-period: 这条全局命令不必输入,当使用N T P进行系统时钟同步时,路由器将自动产生这条命令。
ntp disable: 这条接口命令使特定接口不接收N T P包。
ntp master: 这条全局命令用来配置路由器为N T P主时钟,只有当没有可用的外部N T P源或者为测试用途才使用该命令。
ntp peer: 该全局命令使路由器的系统时钟与其对等体的时钟同步(或对对等体的时钟进行同步)。
ntp server: 该全局命令使路由器的系统时钟由时间服务器进行同步。
ntp source: 该全局命令强制路由器在其N T P包中使用特定的源地址。
ntp trusted-key: 该全局命令用于确认路由器的特定身份验证键值。
ntp update-calendar: 该全局命令使N T P周期性地更新Cisco 7XXX 系列路由器的日历。
show ntp status: 是一执行模式命令,用于显示路由器的N T P信息,它可以表明该路由器是通过N T P对等体进行时钟同步还是通过N T P服务器进行同步。
show ntp association[detail]: 这条执行模式命令显示与N T P有关的信息,如轮询周期等。
应用中应注意的问题
校时周期。一般计算机内部时钟精度是每天误差约10秒左右。为了校准时钟,必须经常与时间服务器进行时钟校对,校时周期可设定为300分钟。过短、过频的校时请求,会加重时间服务器和客户机本身的负荷;过长的校时请求,会增大时间误差。最好的方式是根据客户机本身的时钟精度和对时钟要求的精确度,来确定校时周期。
时钟精度。一台计算机的时间精度是恒定的。时间服务器只能为客户机提供标准时间供客户机校时,并不能改变客户机本身的时钟走时精度。因为如果客户机本身内部时钟精度太低,如每小时误差十几秒,当采用时间服务器校时时,这台计算机上的时钟就会出现明显跳跃现象,记录的日志也会有时间段空白或重叠问题。因此,对于内部时钟精度太低的计算机,我们不能用作时间服务器或用于记录关键日志。
计算机病毒。目前已经有了专门攻击时间服务器的计算机病毒。一旦病毒感染计算机,就会向网络中的时间服务器不断地发送大量的时间服务请求。但是,过多的时间服务请求会造成服务器瘫痪。
(作者单位:江西省政务信息网网管中心)